it

JDownloader 网站被黑客入侵,安装程序被替换为 Python RAT 恶意软件

发布: (2026年5月10日 GMT+8 03:27)
7 分钟阅读
原文: Bleeping Computer

Source: Bleeping Computer

JDownloader 标题

概述

官方的 JDownloader 下载管理器网站本周早些时候被攻陷。攻击者将合法的下载链接替换为恶意负载,这些负载会在 Windows 和 Linux 系统上安装基于 Python 的远程访问木马。

受影响的下载

  • 日期范围: 2026年5月6日 – 2026年5月7日
  • 平台:
    • Windows – “Download Alternative Installer” 链接
    • Linux – shell 安装程序

发生了什么

  • 网站的下载链接被篡改,指向第三方的恶意安装程序,而不是官方的 JDownloader 包。
  • Windows 载荷会投放基于 Python 的远程访问工具(RAT);Linux 安装程序也包含类似的恶意组件。

关于 JDownloader

  • 类型: 免费下载管理应用程序。
  • 功能: 自动从文件托管服务、视频站点和高级链接生成器下载。
  • 可用平台: Windows、Linux、macOS。
  • 历史: 使用已超过十年,拥有全球数百万用户。

如果您在受影响期间从官方网站下载了 JDownloader, 请进行彻底的恶意软件扫描,并考虑从可信来源重新安装该软件。保持警惕,留意任何异常的系统行为。

Source: https://jdownloader.org/incident_8.5.2026.html?v=20260508277000

详细攻击报告

该妥协首次在 Reddit 上被用户名为 PrinceOfNightSky 的用户报告,他注意到下载的安装程序被 Microsoft Defender 标记为威胁。

“我一直在使用 JDownloader,几周前换了新电脑。幸好我把安装程序保存在 U 盘里,但我决定重新下载最新版本。” – PrinceOfNightSky

“网站是官方的,但所有 Windows 的 EXE 文件都被 Windows 报告为恶意软件,开发者被列为 ‘Zipline LLC’。有时又显示为 ‘The Water Team’。软件显然是 AppWork 出品的,我必须手动在 Windows 中解除阻止才能运行,这我不会做。”

JDownloader 开发者随后 确认 该站点已被入侵,并将其下线以调查此事件。

事件报告

在官方的事件报告中,开发者解释说攻击者利用了一个未打补丁的漏洞,得以在未进行身份验证的情况下修改网站的访问控制列表和内容。

“更改是通过网站的内容管理系统完成的,影响了已发布的页面和链接。”

“攻击者并未获取底层服务器堆栈的访问权限——尤其是没有访问主机文件系统或更广泛的操作系统级控制,只能控制 CMS 管理的网页内容。”

受影响的内容有哪些?

  • 替代的 Windows 安装程序下载链接
  • Linux Shell 安装程序链接

以下内容被修改:

  • 应用内更新
  • macOS 下载
  • Flatpak、Winget、Snap 包
  • 主 JDownloader JAR 包

验证合法安装程序

  1. 右键点击已下载的文件 → 属性
  2. 打开 数字签名 选项卡。

如果签名显示 AppWork GmbH,则该安装程序是合法的。若文件未签名或签名为其他名称,则应避免使用。

已签名的合法 JDownloader 安装程序
来源:BleepingComputer

恶意载荷

JDownloader 团队表示,分析恶意载荷超出范围,但他们共享了受损安装程序的归档,以供独立分析。

Windows 载荷

网络安全研究员 Thomas Klemenc 分析了恶意 Windows 可执行文件并发布了妥协指示器(IOCs)。据 Klemenc 称,恶意软件充当加载器,部署了一个高度混淆的基于 Python 的 RAT。该 Python 载荷作为模块化的 bot 与 RAT 框架,允许攻击者执行来自指挥控制(C2)服务器的 Python 代码。

C2 服务器

https://parkspringshotel[.]com/m/Lu6aeloo.php
https://auraguest[.]lk/m/douV2quu.php

Linux 载荷

BleepingComputer 对被修改的 Linux Shell 安装程序的分析发现,脚本中注入了恶意代码,该代码会从 checkinnhotels[.]com(伪装成 SVG 文件)下载一个压缩包。

被修改的 JDownloader Linux 安装程序中的恶意代码
来源:BleepingComputer

该脚本随后:

  1. 解压出名为 pkgsystemd‑exec 的两个 ELF 二进制文件。
  2. systemd‑execSUID‑root 权限安装到 /usr/bin/
  3. 将主载荷复制到 /root/.local/share/.pkg
  4. /etc/profile.d/systemd.sh 中创建持久化脚本。
  5. /usr/libexec/upowerd 的身份伪装启动恶意软件。

pkg 载荷使用 PyArmor 进行高度混淆,其具体功能仍不明确。

建议措施

  • 已下载并执行受损安装程序的用户应重新安装操作系统
  • 重置所有…

密码在清理设备后应立即更改,因为凭据可能已被外泄。

  • 使用上述数字签名方法验证未来的 JDownloader 下载。

背景 – 近期其他供应链攻击

日期目标影响
2026年4月CPUID website针对 CPU‑Z 和 HWMonitor 的恶意可执行文件
2026年5月DAEMONTOOLS website含后门的特洛伊木马安装程序

黑客正日益针对流行软件工具的网站向毫无防备的用户分发恶意软件。保持警惕——检查数字签名、使用可信的镜像站点并保持软件更新——仍然至关重要。

0 浏览
#it #security #tech-news
查看原文
Share:
Back to Blog

相关文章

阅读更多 »