热门下载管理器 JDownloader 网站遭到黑客攻击,安装程序被替换为 Python RAT 恶意软件
本周早些时候,热门下载管理器 JDownloader 的网站遭到入侵,用于分发恶意 Windows 和 Linux 安装程序。其中,Windows 有效载荷被发现部署了一个基于 Python 的远程访问木马。
此次供应链攻击影响了在 2026 年 5 月 6 日至 7 日期间,通过 Windows“下载备用安装程序”链接或 Linux shell 安装程序从官方网站下载安装程序的用户。
据开发者称,攻击者修改了网站的下载链接,使其指向恶意第三方有效载荷,而不是合法的安装程序。
JDownloader 是一款广泛使用的免费下载管理应用程序,支持从文件托管服务、视频网站和付费链接生成器自动下载文件。该软件已推出十余年,在全球拥有数百万用户,支持 Windows、Linux 和 macOS 系统。JDownloader供应链攻击
该漏洞最初由Reddit用户“PrinceOfNightSky”发现,他注意到下载的安装程序被Microsoft Defender标记。
“我一直用Jdownloader,几周前换了台新电脑。还好我U盘里有安装程序,但我还是决定下载最新版本,”PrinceOfNightSky在Reddit上发帖说。
“这个网站是官方网站,但所有 Windows 版本的可执行文件都被 Windows 系统报告为恶意软件,开发者显示为‘Zipline LLC’。有时又显示为‘The Water Team’。很明显,这款软件是 Appwork 开发的,我必须手动解除 Windows 的阻止才能运行它,但我不会这么做。”
JDownloader 的开发人员随后证实该网站已被入侵,并将网站下线以调查该事件。
在事件报告中,开发人员表示,他们的网站遭到攻击者的入侵,攻击者利用一个未修补的漏洞,在未经身份验证的情况下更改网站访问控制列表和内容。
事件报告中写道:“更改是通过网站的内容管理系统进行的,影响了已发布的页面和链接。”
“攻击者并未获得对底层服务器堆栈的访问权限——特别是对主机文件系统的访问权限,或者对CMS管理的Web内容之外的更广泛的操作系统级别的控制权限。”
开发者表示,此次漏洞仅影响了备用 Windows 安装程序下载链接和 Linux shell 安装程序链接。应用内更新、macOS 下载、Flatpak、Winget、Snap 软件包以及主 JDownloader JAR 包均未受影响。
开发人员还表示,用户可以通过右键单击文件,选择“属性”,然后单击“数字签名”选项卡来确认安装程序是否合法。
如果数字签名显示文件由“AppWork GmbH”签名,则该文件合法。但是,如果文件未签名或签名名称不同,则应避免使用。
JDownloader 团队表示,分析恶意载荷“超出了我们的范围”,但他们分享了恶意安装程序的存档,以便其他人可以对其进行分析。
网络安全研究员Thomas Klemenc分析了恶意 Windows 可执行文件和恶意软件的共享入侵指标 (IOC)。
据 Klemenc 称,该恶意软件充当加载器,部署一个经过高度混淆的基于 Python 的远程访问木马 (RAT)。
Klemenc 表示,Python 有效载荷充当模块化机器人和 RAT 框架,允许攻击者执行从命令和控制 (C2) 服务器传递的 Python 代码。
该研究人员还分享了恶意软件使用的两个命令与控制服务器:
https://parkspringshotel[.]com/m/Lu6aeloo.phphttps://auraguest[.]lk/m/douV2quu.php
BleepingComputer 对修改后的 Linux shell 安装程序的分析发现,恶意代码被注入到从“checkinnhotels[.]com”下载伪装成 SVG 文件的存档的脚本中。
下载完成后,该脚本会提取名为“pkg”和“systemd-exec”的两个 ELF 二进制文件,然后将“systemd-exec”作为 SUID-root 二进制文件安装到“/usr/bin/”中。
然后安装程序将主有效载荷复制到“/root/.local/share/.pkg”,在“/etc/profile.d/systemd.sh”中创建持久化脚本,并伪装成“/usr/libexec/upowerd”启动恶意软件。
‘pkg’ 有效载荷也使用 Pyarmor 进行了高度混淆,因此不清楚它执行什么功能。
JDownloader 表示,只有在网站被入侵期间下载并执行了受影响的安装程序的用户才会面临风险。
由于恶意软件可能在受感染的设备上执行任意代码,建议安装了恶意安装程序的用户重新安装操作系统。
设备上的凭证也可能已被泄露,因此强烈建议在清理设备后重置密码。
今年,黑客越来越多地将目标对准热门软件工具的网站,向毫无戒心的用户散布恶意软件。
今年四月,黑客入侵了 CPUID 网站 ,更改了下载链接,这些链接指向流行的 CPU-Z 和 HWMonitor 工具的恶意可执行文件。
本月初,一些不法分子入侵了 DAEMONTOOLS 网站,散布了含有后门的木马安装程序。
夜雨聆风
