2025 年 10 月中旬,Xubuntu 项目的官方网站(xubuntu.org)在短时间内遭到入侵,导致其下载页面提供的种子文件被替换为恶意压缩包。该事件由项目团队成员 Elizabeth K. Joseph 在 11 月 17 日向社区发布的公开信中正式说明。

入侵经过
攻击者通过暴力破解 Xubuntu 网站所依赖的 WordPress 组件中的一个脆弱点,获得了后台访问权限,随后在下载页面中注入了恶意代码,将正常的种子下载链接改为指向名为 “Xubuntu‑Safe‑Download.zip” 的恶意压缩文件。

https://s3-img.meituan.net/v1/mss_3d027b52ec5a4d589e68050845611e68/ff/n0/0a/kd/2p_196333.jpg@596w_1l.jpg

响应与修复
事件在 10 月 15 日被社区成员发现并上报后,Canonical 基础设施与安全团队立即介入,关闭了下载页面并启动调查。在 10 月 15 日至 19 日期间,团队完成了以下关键步骤:

  • 确认入侵路径并清除所有恶意代码与文件;
  • 将受影响页面回滚至经核验的干净版本;
  • 对 WordPress 实例进行加固,防止后续入侵。
    至 10 月 19 日,社区验证恶意文件已被移除,网站恢复安全状态。11 月 11 日,Canonical 向 Xubuntu 团队提交事件总结,确认漏洞已修复,并在只读模式下重新开放下载,以便迁移至新架构。

影响范围
本次事件仅涉及 xubuntu.org 网站上的 torrent 下载链接,未波及 cdimages.ubuntu.com、官方软件仓库、镜像站以及 Xubuntu 系统本身的构建流水线或已安装系统。任何在受影响期间下载并打开 “Xubuntu‑Safe‑Download.zip” 的用户应视其为恶意软件,立即删除并运行杀毒扫描。

后续改进
为彻底杜绝同类攻击,Xubuntu 团队决定将网站从 WordPress 迁移至 Hugo 静态站点生成器,从而消除动态代码执行带来的安全风险。该迁移计划原本已在推进,此次事件加速了其落地。新版静态网站预计很快上线。

社区反响
事件发生后,社区通过 Reddit、Matrix、IRC 等渠道迅速报告并互相提醒,分享官方镜像地址与校验方法,体现了社区的高度警觉与协作精神。团队对此表示由衷感谢,并鼓励有意贡献的开发者通过 xubuntu.org/contribute 加入。

Xubuntu 用户邮件列表 2025‑11‑17 公开信: https://lists.ubuntu.com/archives/xubuntu-users/2025-November/012210.html