No início de outubro, usuários que tentaram baixar o Xubuntu por torrent receberam uma surpresa desagradável: em vez do arquivo oficial, o site passou a entregar um ZIP malicioso, contendo um executável para Windows projetado para roubar carteiras de criptomoedas copiadas para a área de transferência.
O problema foi rapidamente identificado, mas a questão permaneceu: como isso aconteceu? Agora, a equipe do Xubuntu divulgou seu relatório público, com informações fornecidas pela equipe de segurança da Canonical, esclarecendo a origem da invasão, seus impactos e as medidas tomadas para evitar que algo assim se repita.
Como o ataque aconteceu
O incidente afetou exclusivamente o site Xubuntu.org, que roda em WordPress e é mantido pela Canonical. A distribuição em si, seus pacotes, ISOs, repositórios e infraestrutura de build não foi comprometida. Segundo o relatório, em meados de outubro um invasor conseguiu acesso ao painel do WordPress por meio de brute force direcionado a um componente vulnerável seguido de injeção de código na página de downloads
Com o acesso, o atacante substituiu o link do torrent por um arquivo chamado Xubuntu-Safe-Download.zip, que continha um EXE infectado, criado para monitorar o clipboard do Windows com o objetivo de interceptar links e endereços de criptomoedas que o usuário copiasse
A equipe reforça que todo o ecossistema do Xubuntu permaneceu intacto, incluindo:
- O cdimages.ubuntu.com;
- Todos os repositórios oficiais;
- Todos os espelhos de sincronização;
- Os sistemas de build e empacotamento;
- As ISOs oficiais da distribuição;
- Qualquer Xubuntu já instalado em máquinas dos usuários.
Logicamente, se você baixou Xubuntu-Safe-Download.zip durante o período afetado, delete o arquivo imediatamente e execute um antivírus confiável no seu sistema Windows. O ZIP não contém nenhum arquivo relacionado ao Xubuntu ou ao Ubuntu, trata-se apenas de malware.
Linha do tempo do ataque
15 de outubro
Usuários detectam comportamentos suspeitos no link de torrent e reportam em canais como Reddit, Matrix e IRC. A equipe do Xubuntu recebeu os alertas e acionou a Canonical.
15 a 19 de outubro
A equipe de segurança da Canonical bloqueou o site, desativou os links afetados, removeu os códigos injetados, limpou arquivos ilícitos, restaurou as páginas para um estado verificado e seguro e endureceu a instalação do WordPress para fechar o vetor explorado. No dia 19, membros da comunidade confirmam que o ZIP malicioso foi removido e o site estava limpo.
11 de novembro
A Canonical enviou ao Xubuntu um documento detalhado confirmando a correção do vetor explorado, o reforço na infraestrutura, a restauração segura dos downloads e a recomendação final de migrar o site para um sistema mais seguro.
Adeus, WordPress
Uma das consequências mais diretas do incidente é uma mudança estratégica importante: o Xubuntu vai abandonar o WordPress e migrar seu site para o gerador de páginas estáticas Hugo.
Segundo o time:
“Isso elimina completamente o tipo de vetor explorado.”
Sites estáticos reduzem drasticamente a superfície de ataque, pois não dependem de scripts dinâmicos, banco de dados ou login de painel administrativo, exatamente os pontos exploráveis em CMSs como o WordPress. A migração já estava planejada há algum tempo, mas o ataque acelerou o processo.Fique por dentro das principais novidades da semana sobre tecnologia e Linux: receba nossa newsletter em sua caixa de entrada!