El sitio oficial de Xubuntu fue comprometido: los atacantes reemplazaron el enlace de descarga por un archivo malicioso. En vez del .torrent habitual, el enlace descargaba un .zip que contenía un ejecutable para Windows llamado TestCompany.SafeDownloader.exe.
El instalador gráfico de Ubuntu se instalaba en AppData y ejecutaba comandos en segundo plano para vigilar el portapapeles y sustituir direcciones de billeteras de criptomonedas por otras controladas por los atacantes, de modo que cualquier transferencia termine en manos del hacker sin que el usuario lo note.
El archivo fue analizado en VirusTotal y 26 de 72 motores lo marcaron como malicioso. Aun así, la detección parcial no reduce el daño potencial: basta con que una sola víctima ejecute el .exe y copie una dirección de wallet para que el ataque funcione.
El equipo de Xubuntu desactivó la página de descargas y habló de un “problema en el entorno de alojamiento ”, pero no ofreció detalles técnicos ni cifras de afectados. El sitio parece haber sido restaurado a una versión previa y varios enlaces no funcionan, así que es evidente que siguen en modo contención.
Usuarios reportan que los mirrors y los .torrent oficiales no se vieron alterados; el problema estuvo en la web principal. Aun así, lo responsable es verificar siempre las sumas de verificación (checksums) de las ISOs antes de instalar, sobre todo si descargaste desde la web en las fechas del incidente.
Este caso no es aislado: en los últimos meses otras infraestructuras del ecosistema Linux también fueron atacadas (Arch AUR, Fedora, Red Hat).
