Durante lo scorso fine settimana è stato compromesso da hacker non identificati il sito ufficiale di Xubuntu, una distribuzione Linux derivata da Ubuntu con ambiente desktop Xfce. Gli hacker hanno modificato i link di download per distribuire un malware diretto a utenti Windows. Chi ha ideato l'incidente, segnalato inizialmente su Reddit dal subreddit r/xubuntu, pare aver voluto approfittare della fine del supporto ufficiale a Windows 10: avvenuta il 14 ottobre, ha spinto molti utenti a esplorare alternative open-source per riutilizzare hardware obsoleto, come appunto Xubuntu.

Secondo il post originale su Reddit, i link nella sezione download non reindirizzavano al file .torrent legittimo per Xubuntu 25.10 (nome in codice "Questing Quokka") ma a un archivio ZIP chiamato "xubuntu-safe-download.zip": esso conteneva un eseguibile malevolo per Windows e un file di testo con termini di servizio fasulli. Classificato come trojan crypto-clipper dalle analisi di VirusTotal, il malware si installava nella cartella AppData/Roaming del sistema Windows: monitorava gli Appunti per sostituire gli indirizzi di wallet di criptovalute con quelli controllati dagli attaccanti. Il meccanismo mirava a intercettare transazioni crypto durante le operazioni di copia-incolla, potenzialmente deviando fondi senza che l'utente se ne accorgesse, almeno inizialmente.

L'attacco non ha alterato le immagini ISO dirette né coinvolto l'infrastruttura principale di Ubuntu o altre varianti, limitandosi alla sezione torrent del sito di Xubuntu. La compromissione è stata attiva solo durante il fine settimana, con gli screenshot catturati dalla Wayback Machine che mostrano il link malevolo attivo intorno alle 19:40 (UTC) del 18 ottobre. Un responsabile del progetto Xubuntu ha confermato la violazione sul thread Reddit, notando che il team ha rimosso il contenuto infetto entro il 19 ottobre, ripristinando i link legittimi. Al 20 ottobre il sito presentava ancora instabilità con errori 503 (Service Unavailable) in alcune sezioni. Il blog già un mese fa aveva mostrato annunci sospetti in lingue diverse dall'inglese: ciò sembra indicare che da tempo c'era un accesso illecito al sito.

Le ipotesi più accreditate riportano che l'exploit potrebbe derivare da una vulnerabilità in un plugin WordPress: il CMS usato per il sito di Xubuntu ha permesso l'upload di file e l'aggiunta di utenti admin. L'incidente mette in cattiva luce la credibilità delle distribuzioni Linux proprio in un momento di crescita: come segnala Google Trends, in questo periodo le ricerche per Alternative Linux a Windows 10 sono aumentate del 40% e qualcuno ha deciso di approfittarne.

Per approfondire:

Linux conquista l'America: ha superato il 5% del mercato desktop negli Stati...

Il progetto che salva i vecchi PC insegnando a installare Linux

Wubuntu cerca di unire il meglio di Windows e di Linux

L'aggiornamento di Windows che impedisce di avviare Linux

Il team Xubuntu ha fornito rassicurazioni affermando che nessun sistema installato è a rischio, poiché il malware era specifico per Windows; ha consigliato di operare sempre le verifiche tramite il checksum SHA256 sulle ISO scaricate. Sono poi sempre validi alcuni consigli: scaricare sempre da mirror ufficiali o torrent verificati, controllare le firme GPG e usare strumenti come i vari software antivirus/antimalware per controllare i file sospetti.

Leggi anche:

Lindroid fa girare le app Linux su Android

Ubuntu 24.04 LTS, il supporto durerà ben 12 anni

Anche Linux avrà la sua schermata blu della morte

Canonical ritira Ubuntu 23.10 per “discorsi d'odio”