Xubuntu опубликовала подробный отчёт о расследовании октябрьского компрометажа страницы загрузки на сайте, когда при нажатии на кнопку загрузки ISO вместо ожидаемого установочного образа на короткое время появлялся вредоносный ZIP-файл.
Инцидент произошёл 15 октября, когда посетители, нажимавшие на главную кнопку «Скачать» на сайте Xubuntu.org, были перенаправлены на файл под названием «Xubuntu-Safe-Download.zip». Архив был заражён вредоносным кодом.
Важно подчеркнуть, что это не повлияло на cdimages.ubuntu.com, официальные репозитории Ubuntu или зеркальную сеть, а существующие установки Xubuntu не подвергались риску.
Согласно результатам расследования, атака стала возможной после того, как злоумышленник методом перебора обнаружил уязвимый компонент в экземпляре WordPress, который Canonical поддерживает для команды Xubuntu.
Проникнув внутрь, злоумышленник внедрил код, который заменил легитимную ссылку для скачивания ISO-образа на вредоносный ZIP-файл. О взломе сообщили быстро, и специалисты Canonical по инфраструктуре и безопасности заблокировали сайт и отключили страницу загрузок.
В период с 15 по 19 октября компания Canonical и команда Xubuntu выявили способ проникновения, удалили весь внедренный код и восстановили поврежденные страницы из проверенных чистых снимков.
Кроме того, установка WordPress была усилена и переведена в режим контролируемого чтения, пока команда занималась окончательным переходом с этой платформы.
Xubuntu подтверждает, что была изменена только кнопка загрузки на сайте. Основной дистрибутив, системы сборки, пакеты и официальный хостинг образов Ubuntu остались нетронутыми.
Пользователям, загрузившим файл «Xubuntu-Safe-Download.zip» в этот период, настоятельно рекомендуется немедленно удалить его и выполнить сканирование системы с помощью надёжного антивируса или средства защиты от вредоносного ПО.
В связи с этим инцидентом команда завершает запланированный переход на Hugo — генератор статических сайтов, который устраняет уязвимость WordPress для динамических атак.
Миграция уже некоторое время находилась в процессе, но октябрьский взлом ускорил её завершение. После развёртывания новый статический сайт устранит уязвимость, которая использовалась при этом взломе.
Дополнительную информацию можно найти в официальном объявлении в рассылке Ubuntu: https://lists.ubuntu.com/archives/xubuntu-users/2025-November/012210.html.