Wordpress im Verdacht
Das Xubuntu-Team reagierte sofort, nachdem der Vorfall bekannt wurde: Die gesamte Downloadseite wurde umgehend deaktiviert. Projektleiter Sean Davies kündigte auf Mastodon an, das alte Wordpress-basierte Webangebot zügig durch eine statische Webseite zu ersetzen(öffnet im neuen Fenster) .
Xubuntu-Teammitglied Elizabeth K. Joseph erklärte ergänzend im Xubuntu-Subreddit, man sei bei Wartungsupdates auf den Hosting-Provider angewiesen gewesen und es habe offenbar ein Versäumnis gegeben(öffnet im neuen Fenster) .
Wie genau der Downloadlink auf die Malware umgeleitet wurde, wird noch untersucht; das Team befinde sich im "Triage-Modus" und wolle Details mitteilen, sobald die Webseite vollständig bereinigt sei, hieß es. Gleichzeitig wird bereits über mögliche Schwachstellen der Web-Plattform spekuliert.
Nur Torrent-Download betroffen
Nach aktuellem Stand war ausschließlich der Torrent-Download auf xubuntu.org von dem Hack betroffen. Andere Ubuntu-Varianten und direkte Downloadquellen blieben unverändert und sicher. Wer Xubuntu nicht in dem kurzen Zeitraum per Torrent heruntergeladen hat, muss sich keine Sorgen machen.
Bis die eigene Webseite wieder bereinigt online ist, empfiehlt das Projekt, Xubuntu über den offiziellen Ubuntu-CD-Image-Server zu beziehen. Dennoch führt der Vorfall vor Augen, dass auch Linux-Projekte nicht vor derlei Angriffen gefeit sind.
Der Autor meint:
Der kompromittierte Downloadlink auf der Xubuntu-Webseite war ein Weckruf, nicht nur für das betroffene Projekt, sondern für die gesamte Open-Source-Community. Zwar hat das Xubuntu-Team schnell reagiert, die manipulierte Datei entfernt und transparente Informationen bereitgestellt. Doch der Vorfall zeigt, wie angreifbar auch kleinere Linux-Projekte sind, wenn die technische Infrastruktur nicht konsequent gehärtet wird.
Viele Community-Projekte setzen noch immer auf CMS-basierte Webseiten mit komplexen Abhängigkeiten, eingeschränkten Updateprozessen oder veralteten Plug-ins. Gerade im sicherheitskritischen Kontext, etwa bei der Distribution von Betriebssystemen, ist das fahrlässig. Die Migration hin zu statischen Webangeboten oder CI-gesteuerten Deployments ist überfällig.
Wer selbst auf xubuntu.org nicht mehr sicher sein kann, ein sauberes Abbild zu laden, wird künftig auch anderen Projekten mit mehr Skepsis begegnen. Die Integrität von Downloadkanälen ist ein zentrales Versprechen, das freie Distributionen erfüllen müssen. Der Angriff zielte klar auf Windows-Nutzer, die vor dem Supportende von Windows 10 zu Linux wechseln wollen, eine ohnehin vulnerable Zielgruppe. Dass diese Menschen ausgerechnet beim Einstieg in eine offene Plattform mit Malware konfrontiert werden, sendet ein fatales Signal.
Medienkompetenz gehört bei der Installation von Betriebssystemen heute zur Grundausstattung – nicht nur für Profis.
Oliver Jessner(öffnet im neuen Fenster) bringt 15 Jahre Erfahrung in der Softwareentwicklung und Unternehmertum mit und schreibt über Wirtschaft, New Work, Start-ups und KI.