Windows-Malware: Angriff auf Xubuntu-Webseite
Die offizielle Webseite der Linux-Distribution Xubuntu ist am vergangenen Wochenende gehackt worden. Am 18. und 19. Oktober 2025 verteilte die Downloadseite anstelle der üblichen Torrent-Datei kurzzeitig ein Windows-Schadprogramm.
Malware-Download statt Linux-ISO
Der Vorfall löste bei der Linux-Community Alarmstimmung aus, denn zunächst war unklar, was genau passiert war und wie viele Nutzer betroffen sein könnten.
xubuntu-safe-download.zip enthielt Schadsoftware
Wer an diesen Tagen Xubuntu über die offizielle Seite herunterladen wollte, bekam eine Datei namens xubuntu-safe-download.zip angeboten. Darin fand sich eine Windows-Executable (.exe) sowie ein fragwürdig formuliertes "Nutzungsbedingungen" -Textdokument.
Nachdem erste Hinweise auf den falschen Download auftauchten, nahm das Xubuntu-Team die betreffende Seite umgehend vom Netz. Direkt bereitgestellte ISO-Abbilder und Prüfsummen auf der Seite waren nach aktuellen Erkenntnissen nicht manipuliert worden. Der schädliche Downloadlink war offenbar nur ein bis zwei Tage online, bevor er entdeckt und entfernt wurde.
Windows-Umsteiger im Visier
Erfahrene Linux-Nutzer wären wohl kaum darauf hereingefallen – eine Windows-Installationsdatei und ein plump formuliertes "Nutzungsbedingungen" -Dokument sind allzu offensichtliche Warnsignale. Weniger technikaffine Windows-Umsteiger hätten sich von dem angeblichen "sicheren Xubuntu-Downloader" jedoch täuschen lassen können.
Die Personen hinter dem Vorfall scheinen es auf diese Zielgruppe abgesehen zu haben: Aufgrund des Supportendes von Windows 10 suchen derzeit viele Nutzer nach Linux-Alternativen.
Bei der im Zip-Paket enthaltenen .exe-Datei handelte es sich den Analysen aus der Community zufolge um Malware, die auf Windows-Rechnern Kryptogeld-Adressen abfängt. Sie überwacht die Zwischenablage und tauscht kopierte Wallet-Adressen unbemerkt gegen die Adressen der Angreifer aus(öffnet im neuen Fenster) .
Nun stellt sich die Frage, wie es überhaupt zu diesem Vorfall kommen konnte.
Wordpress im Verdacht
Das Xubuntu-Team reagierte sofort, nachdem der Vorfall bekannt wurde: Die gesamte Downloadseite wurde umgehend deaktiviert. Projektleiter Sean Davies kündigte auf Mastodon an, das alte Wordpress-basierte Webangebot zügig durch eine statische Webseite zu ersetzen(öffnet im neuen Fenster) .
Xubuntu-Teammitglied Elizabeth K. Joseph erklärte ergänzend im Xubuntu-Subreddit, man sei bei Wartungsupdates auf den Hosting-Provider angewiesen gewesen und es habe offenbar ein Versäumnis gegeben(öffnet im neuen Fenster) .
Wie genau der Downloadlink auf die Malware umgeleitet wurde, wird noch untersucht; das Team befinde sich im "Triage-Modus" und wolle Details mitteilen, sobald die Webseite vollständig bereinigt sei, hieß es. Gleichzeitig wird bereits über mögliche Schwachstellen der Web-Plattform spekuliert.
Nur Torrent-Download betroffen
Nach aktuellem Stand war ausschließlich der Torrent-Download auf xubuntu.org von dem Hack betroffen. Andere Ubuntu-Varianten und direkte Downloadquellen blieben unverändert und sicher. Wer Xubuntu nicht in dem kurzen Zeitraum per Torrent heruntergeladen hat, muss sich keine Sorgen machen.
Bis die eigene Webseite wieder bereinigt online ist, empfiehlt das Projekt, Xubuntu über den offiziellen Ubuntu-CD-Image-Server zu beziehen. Dennoch führt der Vorfall vor Augen, dass auch Linux-Projekte nicht vor derlei Angriffen gefeit sind.
Der Autor meint:
Der kompromittierte Downloadlink auf der Xubuntu-Webseite war ein Weckruf, nicht nur für das betroffene Projekt, sondern für die gesamte Open-Source-Community. Zwar hat das Xubuntu-Team schnell reagiert, die manipulierte Datei entfernt und transparente Informationen bereitgestellt. Doch der Vorfall zeigt, wie angreifbar auch kleinere Linux-Projekte sind, wenn die technische Infrastruktur nicht konsequent gehärtet wird.
Viele Community-Projekte setzen noch immer auf CMS-basierte Webseiten mit komplexen Abhängigkeiten, eingeschränkten Updateprozessen oder veralteten Plug-ins. Gerade im sicherheitskritischen Kontext, etwa bei der Distribution von Betriebssystemen, ist das fahrlässig. Die Migration hin zu statischen Webangeboten oder CI-gesteuerten Deployments ist überfällig.
Wer selbst auf xubuntu.org nicht mehr sicher sein kann, ein sauberes Abbild zu laden, wird künftig auch anderen Projekten mit mehr Skepsis begegnen. Die Integrität von Downloadkanälen ist ein zentrales Versprechen, das freie Distributionen erfüllen müssen. Der Angriff zielte klar auf Windows-Nutzer, die vor dem Supportende von Windows 10 zu Linux wechseln wollen, eine ohnehin vulnerable Zielgruppe. Dass diese Menschen ausgerechnet beim Einstieg in eine offene Plattform mit Malware konfrontiert werden, sendet ein fatales Signal.
Medienkompetenz gehört bei der Installation von Betriebssystemen heute zur Grundausstattung – nicht nur für Profis.
Oliver Jessner(öffnet im neuen Fenster) bringt 15 Jahre Erfahrung in der Softwareentwicklung und Unternehmertum mit und schreibt über Wirtschaft, New Work, Start-ups und KI.