Веб-страницата на JDownloader хакирана и заменета со Python RAT малициозен софтвер.

Веб-страницата на популарниот менаџер за преземање JDownloader беше компромитирана претходно оваа недела за дистрибуција на малициозни софтвер-инсталации за Windows и Linux, при што беше утврдено дека Windows верзијата инсталира Python-базиран тројанец за далечински пристап (RAT).

Овој напад на синџирот на снабдување ги погодува корисниците кои преземале софтвер-инсталации од официјалната веб-страница помеѓу 6 и 7 мај 2026 година преку Windows линковите „Download Alternative Installer“ или Linux shell инсталерот.

Според развивачите, напаѓачите ги измениле линковите за преземање на веб-страницата така што тие воделе кон малициозни payload-датотеки од трети страни, наместо кон легитимните софтвери-инсталации.

JDownloader е широко користена бесплатна апликација за управување со преземања која поддржува автоматизирано преземање од сервиси за хостирање датотеки, видео-страници и генератори на премиум линкови. Софтверот е достапен повеќе од една деценија и го користат милиони луѓе ширум светот на Windows, Linux и macOS.

Нападот врз синџирот на снабдување на JDownloader

Компромитирањето првично беше пријавено на Reddit од корисник со име „PrinceOfNightSky“, кој забележал дека преземените инсталатери се означуваат како опасни од страна на Microsoft Defender.

„Го користам JDownloader и пред неколку недели преминав на нов компјутер. За среќа, го имав инсталерот на USB, но решив да ја преземам најновата верзија,“ напиша PrinceOfNightSky на Reddit.

„Веб-страницата е официјална, но сите Windows EXE-датотеки се пријавуваат како малициозен софтвер од Windows, а развивачот е наведен како ‘Zipline LLC.’ Понекогаш пишува и ‘The Water Team’. Софтверот очигледно е од AppWork и морам рачно да го деблокирам во Windows за да го стартувам, што нема да го направам.“

Развивачите на JDownloader подоцна потврдија дека веб-страницата била компромитирана и ја исклучија од интернет за да го истражат инцидентот.

Во извештајот за инцидентот, развивачите наведоа дека нивната веб-страница била компромитирана преку неисправена ранливост која им овозможила на напаѓачите да ги изменат листите за контрола на пристап и содржината на страницата без автентикација.

„Промените беа направени преку системот за управување со содржина (CMS) на веб-страницата, што влијаеше на објавените страници и линкови,“ стои во извештајот.

„Напаѓачот не добил пристап до основната серверска инфраструктура — особено немало пристап до фајл-системот на хостот или поширока контрола на оперативниот систем надвор од веб-содржината управувана преку CMS.“

Развивачите изјавија дека компромитирањето ги погодило само алтернативните Windows линкови за преземање и Linux shell инсталерот. Внатрешните ажурирања на апликацијата, macOS преземањата, Flatpak, Winget, Snap пакетите и главниот JDownloader JAR пакет не биле изменети.

Тие исто така објаснија дека корисниците можат да проверат дали инсталерот е легитимен така што ќе кликнат со десен клик на датотеката, ќе изберат „Properties“, а потоа ќе го отворат табот „Digital Signatures“.

Ако во „Digital Signatures“ пишува дека датотеката е потпишана од „AppWork GmbH“, тогаш таа е легитимна. Но, ако датотеката не е потпишана или е потпишана со друго име, треба да се избегнува.

Тимот на JDownloader изјави дека анализата на малициозните payload-датотеки е „надвор од нивниот опсег“, но сподели архива од малициозните инсталатери за други истражувачи да можат да ги анализираат.

Истражувачот за сајбер-безбедност Thomas Klemenc ги анализирал малициозните Windows извршни датотеки и споделил индикатори за компромитација (IOC) поврзани со малициозниот софтвер.

Според Клеменц, малициозниот софтвер функционира како loader што распоредува силно обфускиран Python-базиран RAT (тројанец за далечински пристап).

Клеменц изјавил дека Python payload-от функционира како модуларен bot и RAT framework, овозможувајќи им на напаѓачите да извршуваат Python код испратен од серверите за команда и контрола (C2).

Истражувачот исто така споделил два command-and-control (C2) сервери кои ги користел малициозниот софтвер:

https://parkspringshotel[.]com/m/Lu6aeloo.php
https://auraguest[.]lk/m/douV2quu.php

Откако ќе се преземе архивата, скриптата извлекува две ELF бинарни датотеки наречени „pkg“ и „systemd-exec“, а потоа го инсталира „systemd-exec“ како SUID-root бинарна датотека во „/usr/bin/“.

Потоа инсталерот го копира главниот payload во „/root/.local/share/.pkg“, креира скрипта за перзистентност во „/etc/profile.d/systemd.sh“ и го стартува малициозниот софтвер маскирајќи го како „/usr/libexec/upowerd“.

Payload-от „pkg“ исто така е силно обфускиран со Pyarmor, па не е јасно каква функционалност извршува.

JDownloader наведува дека корисниците се изложени на ризик само ако ги преземале и извршиле погодените инсталатери додека веб-страницата била компромитирана.

Бидејќи малициозниот софтвер можел да извршува произволен код на заразените уреди, на корисниците што ги инсталирале малициозните инсталатери им се препорачува повторно да го инсталираат оперативниот систем.

Исто така постои можност да биле компромитирани кориснички лозинки и други креденцијали, па силно се препорачува ресетирање на лозинките по чистење на уредите.

Хакерите сè почесто ги таргетираат веб-страниците на популарни софтверски алатки оваа година за дистрибуција на малициозен софтвер до несвесни корисници.

Во април, хакери ја компромитираа веб-страницата на CPUID за да ги изменат линковите за преземање што испорачуваа малициозни извршни датотеки за популарните алатки CPU-Z и HWMonitor.

Претходно овој месец, напаѓачи ја компромитираа веб-страницата на DAEMON Tools за дистрибуција на тројанизирани инсталатери кои содржеле backdoor.

Извори:

• Bleeping Computer – JDownloader site hacked to replace installers with Python RAT malware Bleeping Computer