Tehdit aktörleri resmi Xubuntu web sitesine sızarak torrent indirmelerini Windows hedefli kötü amaçlı yazılım içeren kötü amaçlı bir ZIP dosyasına yönlendirdi.
18 Ekim 2025’te ortaya çıkarılan olay, kullanım ömrü sona eren işletim sistemlerine alternatiflere olan ilginin arttığı bir dönemde, topluluk tarafından yönetilen Linux dağıtım sitelerindeki güvenlik açıklarına dikkat çekiyor.
Xubuntu ISO’larını ele geçirmeye çalışan kullanıcılara bunun yerine, pano verilerini ele geçirerek kripto para birimini çalmak için tasarlanmış bir truva atı sunuldu.
Bu uzlaşma, xubuntu.org indirme sayfasındaki anormallikleri fark eden r/xubuntu ve r/Ubuntu topluluklarındaki dikkatli Reddit kullanıcıları aracılığıyla gün ışığına çıktı.
Ziyaretçiler, Xfce masaüstünü içeren hafif Ubuntu çeşidi için meşru .torrent dosyaları yerine “Xubuntu-Safe-Download.zip” ile karşılaştı.
Çıkarıldığında “TestCompany.SafeDownloader.exe” adlı şüpheli bir yürütülebilir dosyanın yanı sıra sahte bir telif hakkı bildirimi taşıyan bir “tos.txt” dosyası ortaya çıktı: “Telif Hakkı (c) 2026 Xubuntu”[.]org” bu yıl için bariz bir tehlike işaretidir.
Güvenlik analizleri, yürütülebilir dosyanın kötü amaçlı yapısını hızla doğruladı. VirusTotal taramaları, onu bir truva atı olarak algıladı ve bir düzineden fazla antivirüs motoru, onu kayıt defteri anahtarları ve pano manipülasyonu yoluyla kalıcılık gibi davranışlar açısından işaretledi.
Sahte indirici, sanal alanlarda çalıştırıldığında Xubuntu yükleyicisi gibi davranır ancak “zvc.exe” dosyasını AppData klasörüne dağıtarak kopyalanan kripto para birimi cüzdan adreslerini saldırgan tarafından kontrol edilen adreslerle değiştirmesine olanak tanır.
Kripto kesme taktiği özellikle Windows kullanıcılarını hedef alıyor ve işlemler sırasında anında tespit edilmeden para çalma potansiyeli taşıyor.
Kötü amaçlı yazılımın Windows odağı, saldırganların 14 Ekim 2025’te desteği sona eren Windows 10’dan geçiş yapan yeni gelenlerden yararlanmayı amaçladığını gösteriyor.
Windows 11 ile donanım uyumsuzluklarına karşı dikkatli olan teknik bilgisi olmayan pek çok kullanıcı, canlanma için Xubuntu gibi kullanıcı dostu Linux dağıtımlarına yöneliyor.
Bununla birlikte, hilenin özensiz uygulanması, hatalı lisans referansları ve yanıltıcı bir arayüz muhtemelen çoğu bilgili indiriciyi kurtardı.
Azaltmalar
Lider Sean Davis’in de aralarında bulunduğu Xubuntu bakımcıları, ihlali birkaç saat içinde kabul etti ve bunu kontrol altına almak için Canonical’in güvenlik ekibiyle işbirliği yaptı.
Etkilenen indirme sayfası devre dışı bırakıldı ve daha fazla dağıtım durduruldu; Ubuntu’nun resmi sunucularından gelen doğrudan ISO bağlantılarına dokunulmadı ve sağlama toplamları aracılığıyla doğrulanabilir durumda kaldı.
Davis, sitenin harici olarak barındırılan eski bir WordPress örneğine güvendiğini, acil düzeltmeleri karmaşık hale getirdiğini belirtti, ancak gelişmiş güvenlik için statik site geçişini hızlandırma sözü verdi.
Onaylanmış herhangi bir enfeksiyon veya hırsızlık ortaya çıkmadı ve Wayback Machine arşivlerine göre kötü amaçlı bağlantı yalnızca 24-48 saat boyunca aktif görünüyor.
Katkıda bulunan diğer bir katılımcı Elizabeth Krumbach Joseph, olayı, tekrarları önlemek için önceliklendirmenin devam ettiği, barındırma yükseltmelerinde bir “kayma” olarak nitelendirdi. Topluluk çağrıları, karışıklığı önlemek için Xubuntu bağlantılarının ubuntu.com’dan geçici olarak kaldırılması çağrısında bulundu.
Günlük siber güvenlik güncellemeleri için bizi Google Haberler, LinkedIn ve X’te takip edin. Hikayelerinizi öne çıkarmak için bizimle iletişime geçin.
