Popularny menedżer pobierania plików, JDownloader, stał się celem cyberataku. W nocy z 7 na 8 maja 2026 roku nieznani sprawcy przejęli kontrolę nad częścią infrastruktury serwisu, podmieniając oficjalne linki do pobierania na zainfekowane wersje instalatorów (podobnie, jak miało to miejsce w przeszłości z aplikacjami HWMonitor oraz CPU-Z). Administratorzy podjęli decyzję o natychmiastowym wyłączeniu strony w celu przeprowadzenia audytu i zabezpieczenia systemów, o czym też poinformowali za pośrednictwem posta na Reddicie.
JDownloader padł ofiarą hakerów – uważaj na instalator programu!
Zgodnie z informacjami udostępnionymi przez zespół JDownloader, włamywacze wykorzystali niezałataną lukę w zabezpieczeniach strony, która umożliwiła im zmianę list kontroli dostępu (ACL) bez uwierzytelnienia. Dzięki temu zyskali prawo do edycji treści witryny i podmienili prowadzące do instalatorów linki na stronie na te ściągające na komputer zainfekowaną wersję programu.
Głównym celem ataku były maszyny z systemami Windows oraz Linux, a złośliwe pliki przygotowane i rozprzestrzeniane przez hakerów różniły się od oryginałów istotnymi szczegółami. Dla przykładu, w przypadku windowsowej odsłony brakowało im prawidłowego podpisu cyfrowego, co sprawiało, że systemowy filtr SmartScreen blokował ich uruchomienie, wyświetlając ostrzeżenie o nieznanym wydawcy (co jednak wielu użytkowników nagminnie ignoruje). W kontekście wersji na Linuksa warto zaś wspomnieć o tym, iż instalatory zostały wzbogacone o szkodliwy kod powłoki, który mógł zostać wykonany bezpośrednio na komputerze użytkownika, tym samym powodując liczne potencjalne szkody.
Szczęście w nieszczęściu, niektórym dystrybucjom programu się upiekło i nie zostało zmodyfikowane. Mowa tu przede wszystkim o aplikacji stworzonej z myślą o macOS, która przez cały czas posiadała prawidłowe podpisy i nie przekształciła się w malware. Główny plik wykonywalny programu, JDownloader.jar, pozostał nietknięty, podobnie jak wersje dystrybuowane przez Flatpak, Winget oraz Snap (głównie dlatego, że ich „infrastruktura znajduje się poza serwerami JDownloader, a sumy kontrolne SHA256 pozostały zgodne z oryginałem”),
Wypada też uspokoić aktualnych użytkowników programu, którzy mają go już od dłuższego czasu zainstalowanego na dysku – mechanizm aktualizacji korzysta z innej, w pełni zabezpieczonej i szyfrowanej infrastruktury, więc osoby takie mogą spać spokojnie.
W momencie publikacji tego newsa strona JDownloader pozostaje wyłączona, wyświetlając komunikat informujący o rychłym powrocie.
Administratorzy pracują nad przywróceniem bezpiecznych wersji plików z kopii zapasowych oraz wdrażaniem poprawek bezpieczeństwa, które mają zapobiec podobnym incydentom w przyszłości. Złośliwe instalatory zostały zabezpieczone do dalszej analizy przez ekspertów od cyberbezpieczeństwa, aby ustalić, jakie dokładnie szkody mogły wyrządzić na zainfekowanych maszynach.
Co jednak, jeśli niedawno ściągnęliśmy z witryny świeży (a przy okazji zainfekowany) instalator programu? W takim przypadku powinniśmy czym prędzej dokładnie przeskanować system w poszukiwaniu niechcianych gości. Należy także pamiętać o tym, aby zawsze zwracać uwagę na obecność podpisu cyfrowego wydawcy przy instalowaniu oprogramowania pochodzącego z sieci – nawet wtedy, gdy uważamy je za bezpieczne.
0 komentarzy