Веб-сайт популярного менеджера загрузок JDownloader был скомпрометирован злоумышленниками, которые более суток распространяли вредоносные инсталляторы для пользователей Windows и Linux, подменяя легитимные файлы для скачивания вредоносным ПО.
Команда JDownloader впервые подтвердила взлом вчера и немедленно отключила веб-сайт для проведения полного расследования. Эти действия последовали после того, как пользователь на Reddit сообщил, что свежие загрузки помечаются функцией Windows SmartScreen, и отображается подозрительный издатель — некая “Zipline LLC”, вместо ожидаемой подписи “AppWork”. Сообщение пользователя быстро набрало популярность и побудило разработчика из команды подтвердить инцидент.
Команда JDownloader сообщила, что первичное расследование подтвердило ограниченный, но серьезный взлом. Злоумышленники целенаправленно изменили альтернативную страницу загрузки 6 мая. Они заменили все ссылки на альтернативные инсталляторы для Windows на свои собственные вредоносные, неподписанные исполняемые файлы.
Инсталлятор для Linux также был подменен версией, содержащей вредоносный shell-код. Однако команда быстро заверила пользователей, что основной файл JDownloader.jar, инсталляторы для macOS, а также пакеты из репозиториев вроде Winget, Flatpak и Snap никогда не подвергались компрометации. Эти пакеты используют отдельную инфраструктуру, защищенную контрольными суммами, а обновления внутри приложения защищены сквозными цифровыми подписями.
Злоумышленникам удалось получить доступ благодаря “незакрытой” уязвимости безопасности на веб-сайте. Эта лазейка позволила им изменять списки контроля доступа (Access Control Lists) сайта без необходимости аутентификации. Предоставив себе права на редактирование, они просто заменили официальные ссылки для загрузки на свои собственные. Сообщения от пользователей, запустивших зараженные файлы, довольно мрачные: некоторые утверждают, что вредоносное ПО полностью отключало Защитник Windows (Windows Defender).
JDownloader стал последней жертвой атаки типа “атака на цепочку поставок”, использующей популярность доверенной утилиты для доставки вредоносного ПО. Буквально в прошлом месяце хакеры взломали официальный сайт CPUID (производителя популярных инструментов диагностики оборудования CPU-Z и HWMonitor) и распространяли файл с обманчивым названием (HWiNFO_Monitor_Setup.exe), который срабатывал в Защитнике Windows.
В случае с CPU-Z хакеры внедрили вредоносный файл CRYPTBASE.dll, скомпилированный на Zig, в остальное чистое приложение CPU-Z, так что при запуске программа неосознанно сначала загружала в свое адресное пространство поддельный, вредоносный DLL-файл. После того как пользователь Reddit поднял тревогу, CPUID быстро отключила сайт, устранила уязвимость API и восстановила чистые ссылки для загрузки.
Спасибо за наводку, Арие Горецкий!
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – David Uzondu
