На этой неделе веб-сайт популярного менеджера загрузок JDownloader был скомпрометирован для распространения вредоносных установщиков для Windows и Linux; при этом полезная нагрузка для Windows оказалась трояном удаленного доступа на базе Python.
Атака на цепочку поставок затронула тех, кто загружал установщики с официального сайта в период с 6 по 7 мая 2026 года по ссылкам “Download Alternative Installer” для Windows или по ссылке на установщик оболочки Linux.
По словам разработчиков, злоумышленники изменили ссылки для загрузки на сайте, чтобы они вели на вредоносные сторонние полезные нагрузки, а не на легитимные установщики.
JDownloader — широко используемое бесплатное приложение для управления загрузками, поддерживающее автоматическую загрузку с файлообменных сервисов, видеосайтов и генераторов премиум-ссылок. Программное обеспечение существует более десяти лет и используется миллионами пользователей по всему миру на платформах Windows, Linux и macOS.
Атака на цепочку поставок JDownloader
О компрометации впервые сообщил пользователь Reddit под ником “PrinceOfNightSky”, который заметил, что загруженные установщики помечаются как вредоносные программой Microsoft Defender.
“Я пользуюсь JDownloader и несколько недель назад перешел на новый ПК. К счастью, у меня был установщик на USB-накопителе, но я решил скачать последнюю версию”, — написал PrinceOfNightSky на Reddit.
“Сайт официальный, но все исполняемые файлы для Windows сообщают как вредоносное ПО, а разработчик указан как ‘Zipline LLC’, а в других случаях — ‘The Water Team’. Очевидно, что программа от Appwork, и мне приходится вручную снимать блокировку в Windows, чтобы запустить ее, чего я делать не буду”.
Разработчики JDownloader позже подтвердили, что сайт был скомпрометирован, и отключили его для расследования инцидента.
В отчете об инциденте разработчики заявили, что их веб-сайт был скомпрометирован злоумышленниками, которые воспользовались необновленной уязвимостью, позволившей им изменять списки контроля доступа и контент веб-сайта без аутентификации.
“Изменения были внесены через систему управления контентом веб-сайта, затронув опубликованные страницы и ссылки”, — говорится в отчете об инциденте.
“Злоумышленник не получил доступа к базовому серверному стеку — в частности, не получил доступа к файловой системе хоста или более широкого контроля на уровне операционной системы за пределами контента, управляемого CMS”.
Разработчики заявили, что компрометация затронула только альтернативные ссылки для загрузки установщика Windows и ссылку на установщик оболочки Linux. Обновления внутри приложения, загрузки для macOS, пакеты Flatpak, Winget, Snap и основной JAR-пакет JDownloader не были изменены.
Разработчики также сообщили, что пользователи могут убедиться в легитимности установщика, щелкнув по файлу правой кнопкой мыши, выбрав Properties (Свойства), а затем перейдя на вкладку Digital Signatures (Цифровые подписи).
Если на вкладке Digital Signatures указано, что файл подписан компанией “AppWork GmbH”, значит, он легитимен. Однако, если файл не подписан или подписан другим именем, его следует избегать.
Команда JDownloader заявила, что анализ вредоносных полезных нагрузок “выходит за рамки их компетенции”, но поделилась архивом вредоносных установщиков, чтобы другие могли их проанализировать.
Исследователь кибербезопасности Томас Клеменц проанализировал вредоносные исполняемые файлы для Windows и поделился индикаторами компрометации (IOC) для вредоносного ПО.
По словам Клеменца, вредоносное ПО действует как загрузчик, который развертывает сильно обфусцированный RAT на базе Python.
Клеменц сообщил, что полезная нагрузка Python действует как модульный бот и фреймворк RAT, позволяя злоумышленникам выполнять код Python, доставляемый с серверов командного и управляющего центра (C2).
Исследователь также поделился двумя серверами командного и управляющего центра, используемыми вредоносным ПО:
https://parkspringshotel[.]com/m/Lu6aeloo.php
https://auraguest[.]lk/m/douV2quu.phpАнализ BleepingComputer модифицированного установщика оболочки Linux обнаружил вредоносный код, внедренный в скрипт, который загружает архив с сайта ‘checkinnhotels[.]com’, замаскированный под файл SVG.
После загрузки скрипт извлекает два ELF-бинарных файла с именами ‘pkg’ и ‘systemd-exec’, а затем устанавливает ‘systemd-exec’ как бинарный файл SUID-root в ‘/usr/bin/’.
Затем установщик копирует основную полезную нагрузку в ‘/root/.local/share/.pkg’, создает скрипт для сохранения в ‘/etc/profile.d/systemd.sh’ и запускает вредоносное ПО, маскируясь под ‘/usr/libexec/upowerd`.
Полезная нагрузка ‘pkg’ также сильно обфусцирована с помощью Pyarmor, поэтому ее функциональность неясна.
JDownloader заявляет, что пользователи подвергались риску только в том случае, если они загружали и запускали затронутые установщики в то время, когда сайт был скомпрометирован.
Поскольку вредоносное ПО могло выполнять произвольный код на зараженных устройствах, тем, кто установил вредоносные инсталляторы, рекомендуется переустановить свои операционные системы.
Также возможно, что учетные данные на устройствах были скомпрометированы, поэтому настоятельно рекомендуется сбросить пароли после очистки устройств.
В этом году хакеры все чаще нацеливаются на веб-сайты популярных программных инструментов для распространения вредоносного ПО среди ничего не подозревающих пользователей.
В апреле хакеры скомпрометировали веб-сайт CPUID, чтобы изменить ссылки для загрузки, которые предоставляли вредоносные исполняемые файлы для популярных инструментов CPU-Z и HWMonitor.
Ранее в этом месяце злоумышленники скомпрометировали веб-сайт DAEMONTOOLS для распространения троянизированных установщиков, содержащих бэкдор.
99% того, что обнаружил Mythos, по-прежнему не исправлено.
ИИ объединил четыре уязвимости нулевого дня в один эксплойт, который обошел как песочницы рендерера, так и песочницы ОС. Грядет волна новых эксплойтов.
На саммите Autonomous Validation Summit (12 и 14 мая) узнайте, как автономная, контекстно-богатая валидация находит то, что можно использовать, доказывает надежность средств контроля и замыкает цикл устранения уязвимостей.
Всегда имейте в виду, что редакции могут придерживаться предвзятых взглядов в освещении новостей.
Автор – Lawrence Abrams
