A comunidade Linux amanheceu em alerta no último domingo com um possível incidente envolvendo o site oficial do Xubuntu. De acordo com relatos publicados no Reddit, o botão de download em xubuntu.org teria redirecionado, por um período de horas, para um arquivo denominado “Xubuntu-Safe-Download.zip”.
Dentro do ZIP, em vez de uma imagem ISO, usuários encontraram um executável para Windows e um arquivo de “termos de uso”, cenário que, por si só, destoa do fluxo esperado de obtenção da distro. O comportamento foi documentado por diferentes threads na plataforma, que descrevem inclusive detalhes do pacote e do redirecionamento anômalo.
Em publicações correlatas, membros da comunidade observaram que, após as primeiras denúncias, os links de download passaram a não levar a lugar nenhum ou a retornar à página inicial, o que sugeriria uma ação de contenção enquanto a equipe responsável avaliava o problema. Há relatos de que o incidente teria durado cerca de seis a doze horas até a remoção do link comprometido, com a página de downloads ficando temporariamente indisponível.
Segundo os relatos de usuários que inspecionaram o arquivo, o comportamento do executável se assemelharia a um “crypto clipper”: um tipo de malware que monitora a área de transferência e, ao detectar o padrão de um endereço de criptomoeda, substitui o conteúdo por uma carteira controlada pelo atacante. Essa tática, embora simples, pode ser eficaz para desviar valores em transações realizadas por vítimas desavisadas. A descrição inclui menções a persistência no sistema por meio de chave de registro e a salvamento de um binário no diretório de perfil do usuário no Windows.
No momento, a orientação mais prudente para quem tentou baixar o Xubuntu a partir do site oficial durante a janela do incidente é não executar arquivos obtidos nesse intervalo e, caso já o tenha feito em um ambiente Windows, considerar uma varredura completa com soluções antimalware confiáveis, revisar eventuais ações de segurança adicionais no sistema ou até realizar uma formatação. A comunidade também enfatiza a importância de verificar checksums e assinaturas antes de instalar qualquer distribuição, preferindo fontes reconhecidas e espelhos verificados quando houver suspeita de comprometimento temporário do site principal.
Para fins de integridade, vale recordar que as imagens do Xubuntu legítimas são servidas pelos espelhos oficiais do Ubuntu (como o cdimage.ubuntu.com), e não pelo domínio principal do projeto; em situações como essa, baixar diretamente de um mirror conhecido e conferir os hashes publicados é a alternativa mais segura enquanto o site retorna à normalidade.Este incidente é mais uma demonstração de que campanhas contra infraestruturas e sites de comunidades open source têm se tornado mais frequentes, variando de DDoS a comprometimento de páginas ou repositórios de terceiros. Confira o recente caso do Arch Linux.