De officiële website van Xubuntu verspreidde cryptostelende malware. De downloadknop voor het torrent-bestand op de website linkte urenlang naar een zip-bestand genaamd "Xubuntu-Safe-Download.zip". Dit bestand bevatte een .exe-bestand dat in werkelijkheid clipper-malware installeerde. Dit soort malware is speciaal ontwikkeld voor het stelen van allerlei cryptovaluta van besmette systemen. Dat laten gebruikers op Reddit weten. De malafide torrent-downloadlink is inmiddels verwijderd. Xubuntu is een op Ubuntu-gebaseerde Linux-distributie. Gebruikers kunnen de distro op verschillende manieren downloaden, waaronder via een torrent-bestand.

Gebruikers van cryptovaluta die een betaling willen doen of geld naar een andere wallet willen overmaken kopiëren hiervoor vaak het walletadres van de begunstigde en plakken dat vervolgens in een veld op de transactiepagina. Op dat moment bevindt het adres zich in het clipboard van de computer of telefoon. Clipper-malware op het systeem kan het gekopieerde adres aanpassen naar een adres van de aanvaller. Zodra het slachtoffer het adres op de transactiepagina plakt, en niet goed oplet, maakt hij zo geld over naar de wallet van de aanvaller in plaats van de oorspronkelijk bedoelde begunstigde.

De malafide downloadlink stond twaalf uur op de website Xubuntu.org. Hoe de link op de website kon verschijnen is onbekend. In een ander topic op Reddit over de gecompromitteerde Xubuntu-website is een reactie sticky gemaakt, waarin Xubuntu-teamlid Elizabeth Krumbach Joseph laat weten dat er sprake was van een "slip-up" met betrekking tot de hostingomgeving. Verdere details over de aanval zijn echter niet gegeven. Xubuntu geeft aan naar een statische omgeving te migreren om dit soort incidenten in de toekomst te voorkomen. Verder wordt aangegeven dat het team zeer klein en druk is.