NIS2/KSC2 starter pack. Czy Twoja firma podlega pod regulację i co z tego wynika? Bezpłatne szkolenie od sekuraka
Konferencja Mega Sekurak Hacking Party w Krakowie – 26-27 października!
Pobierałeś JDownloader na początku maja? Mogłeś zostać zainfekowany trojanem. Atak na łańcuch dostaw
Twórcy popularnego menadżera pobierania plików – JDownloader poinformowali o naruszeniu bezpieczeństwa swojej witryny internetowej. Atakującym udało się uzyskać nieautoryzowany dostęp do systemu zarządzania treścią (CMS), w wyniku czego linki prowadzące do niektórych instalatorów zostały podmienione na zainfekowane binarki.
TLDR:
- Cyberprzestępcy uzyskali nieautoryzowany dostęp do systemu zarządzania treścią (CMS) serwisu JDownloader.
- Skutkiem ich działań była podmiana wybranych linków instalacyjnych na złośliwe odpowiedniki. Zamiast legalnego oprogramowania infekowały systemy użytkowników trojanem zdalnego dostępu (RAT).
- Atak został wykryty przez jednego z użytkowników portalu Reddit, który zaalarmował twórców aplikacji o podejrzanych alertach antywirusowych.
- Z przeprowadzonej analizy wynika, że linki prowadzące do złośliwego oprogramowania były aktywne na stronie w dniach 6 – 7 maja 2026 r. i dotyczyły głównie alternatywnego instalatora dla systemu Windows oraz wersji skryptowej dla Linuxa.
- Mechanizm automatycznej aktualizacji, bezpośrednio z poziomu zainstalowanej aplikacji pozostawał bezpieczny przez cały ten czas.
- Obecnie skutki ataku zostały usunięte, a błąd dzięki któremu cyberprzestępcy uzyskali nieautoryzowany dostęp – załatany.
W przypadku systemu Windows incydent dotyczył wyłącznie linków Download Alternative Installer, natomiast w systemie Linux – odnośnik do instalatora skryptowego (shell installer). Pobranie i uruchomienie tych plików skutkowało infekcją systemu.
Analiza plików wykonywalnych wykazała, że instalator pełnił funkcję loadera, którego głównym zadaniem było nawiązanie połączenia z infrastrukturą atakujących oraz pobranie zaciemnionego ładunku – RAT (Remote Access Trojan) napisanego w Pythonie. Malware działał jako modułowy framework, umożliwiający przesyłanie i wykonywanie dowolnego kodu w Pythonie za pośrednictwem serwerów Command & Control. Elastyczność tej architektury pozwala na dynamiczne rozszerzanie funkcjonalności oprogramowania, w zależności od potrzeb cyberprzestępców (np. kradzież poświadczeń logowania).
Z kolei użytkownicy Linuxa, w pakiecie z programem JDownloader, otrzymywali złośliwy skrypt powłoki, który w tle infekował system backdoorem. Po uruchomieniu, pobierał archiwum podszywające się pod plik .SVG. W rzeczywistości wewnątrz znajdowały się dwa pliki binarne ELF o nazwach pkg oraz systemd-exec.
Plik systemd-exec był instalowany w katalogu /usr/bin/ z nadanym bitem SUID-root, co pozwalało atakującym na wykonywanie operacji z najwyższymi uprawnieniami w systemie. Następnie instalator kopiował główny, zaciemniony (z użyciem Pyarmor) ładunek do lokalizacji /root/.local/share/.pkg oraz tworzył skrypt /etc/profile.d/systemd.sh, w celu zapewnienia trwałości (persistence). Obecność w systemie maskował na liście procesów, podszywając się pod legalną usługę /usr/libexec/upowerd.
Co ciekawe, o fakcie wystąpienia incydentu poinformował jeden z użytkowników Reddita, który miał problem z instalacją najnowszej wersji oprogramowania. Windows Defender oznaczał pobrany instalator jako złośliwy, uniemożliwiając jego uruchomienie. Ponadto, analiza metadanych wykazała, że jako deweloper widnieje Zipline LLC lub The Water Team, zamiast oczekiwanego Appwork.
Zespół JDownloader potwierdził fakt wystąpienia incydentu. Cyberprzestępcy wykorzystali podatność pozwalającą na nieuprawnioną zmianę treści publikowanych przez serwis. Nie uzyskali jednak dostępu do warstwy serwerowej ani systemów produkcyjnych, dzięki czemu same pliki instalatorów (binarki) nie zostały zmodyfikowane.
Ustalono, że linki prowadzące do złośliwego oprogramowania były aktywne w serwisie w dniach 6 – 7 maja 2026 r. W związku z powyższym użytkownicy, którzy w tym okresie zainstalowali oprogramowanie JDownloader w sposób opisany w artykule, mogą być zainfekowani.
Warto zaznaczyć, że mechanizm automatycznej aktualizacji, bezpośrednio z poziomu zainstalowanej aplikacji pozostawał przez cały ten czas bezpieczny.
Obecnie skutki ataku zostały usunięte, a błąd dzięki któremu cyberprzestępcy uzyskali nieautoryzowany dostęp – naprawiony.
Nie jest to pierwszy raz, kiedy cyberprzestępcy wykorzystują zaufanie użytkowników do oficjalnych witryn, aby dystrybuować zainfekowane instalatory. Zalecamy zachować szczególną czujność oraz każdorazowo weryfikować podpisy cyfrowe pobranych plików przed ich uruchomieniem.
Chcesz wiedzieć jak postępować w przypadku takiego ataku? Jakie są wymogi prawne w zakresie NIS 2 / UKSC? Wpadnij na nasze szkolenie 24 czerwca, zapisy: https://sklep.securitum.pl/nis2-dla-kadry-zarzadzajacej
Źródło: jdownloader.org, reddit.com, bleepingcomputer.com
~_secmike
Podepnę się ponownie z pytaniem, czy lepiej jest ufać oficjalnym sklepom (np. Microsoft Store) w celu instalacji programów, czy nie wpływa to jakość znacząco na podniesienie bezpieczeństwa i mniejsze ryzyko stania się ofiarą ataku na łańcuch dostaw?
Zdecydowanie poprawia prawdopodobieństwo instalacji prawidłowego oprogramowania, ale nie zwalnia z czujności
Dziękuje za odpowiedź, staram się zachować czujność i raczej minimalizuję zarówno ilość programów instalowanych na Win11 (zwłaszcza tych spoza sklepu), jak i ilość wtyczek do przeglądarki (a dzięki przeglądarce DuckDuckGo wręcz nie muszę mieć żadnej zainstalowanej, ona spełnia wszystkie moje potrzeby :)).
A gdzie tu suppy chain attack?
Być może tego niuansu nie wyłapałem, czy problem dotyczy też paczek aktualizacyjnych już wcześniej zainstalowanego jdownloadera?