O site do popular gerenciador de downloads JDownloader foi comprometido no início desta semana para distribuir instaladores maliciosos para Windows e Linux, e o payload para Windows foi identificado como um trojan de acesso remoto baseado em Python.
O ataque à supply chain afeta quem baixou instaladores do site oficial entre 6 e 7 de maio de 2026 por meio dos links do Windows "Download Alternative Installer" ou do instalador em shell para Linux.
Segundo os desenvolvedores, os atacantes alteraram os links de download do site para apontar para payloads maliciosos de terceiros, em vez de instaladores legítimos.
O JDownloader é um aplicativo gratuito e amplamente usado para gerenciamento de downloads, com suporte a downloads automatizados de serviços de hospedagem de arquivos, sites de vídeo e geradores de links premium.
O software existe há mais de uma década e é usado por milhões de pessoas em todo o mundo em Windows, Linux e macOS.
O comprometimento foi relatado inicialmente no Reddit por um usuário chamado "PrinceOfNightSky", que percebeu que os instaladores baixados estavam sendo sinalizados pelo Microsoft Defender.
"Eu usava o JDownloader e mudei para um PC novo há algumas semanas.
Por sorte, eu tinha o instalador em um pen drive, mas decidi baixar a versão mais recente", publicou PrinceOfNightSky no Reddit.
"O site é oficial, mas todos os .exe para Windows estão sendo sinalizados pelo Windows como software malicioso, e o desenvolvedor está aparecendo como 'Zipline LLC'.
Em outros momentos, aparece 'The Water Team'.
O software é obviamente da AppWork, e eu teria que desbloqueá-lo manualmente no Windows para executá-lo, o que eu não farei."
Mais tarde, os desenvolvedores do JDownloader confirmaram que o site havia sido comprometido e colocaram a página fora do ar para investigar o incidente.
Em um relatório do incidente, os desenvolvedores disseram que o site foi comprometido por atacantes que exploraram uma vulnerabilidade sem patch, o que permitiu alterar listas de controle de acesso e conteúdo do site sem autenticação.
"As alterações foram feitas por meio do sistema de gerenciamento de conteúdo do site, afetando páginas publicadas e links", diz o relatório.
"O atacante não obteve acesso à pilha de servidores subjacente, em especial não teve acesso ao sistema de arquivos do host nem a um controle mais amplo em nível de sistema operacional além do conteúdo web gerenciado pelo CMS."
Os desenvolvedores informaram que o comprometimento afetou apenas os links alternativos de download do instalador para Windows e o link do instalador em shell para Linux.
As atualizações dentro do aplicativo, os downloads para macOS, Flatpak, pacotes Winget, Snap e o pacote principal JAR do JDownloader não foram modificados.
A equipe também afirmou que os usuários podem confirmar se um instalador é legítimo clicando com o botão direito no arquivo, selecionando Propriedades e, em seguida, abrindo a aba Assinaturas Digitais.
Se a aba Assinaturas Digitais mostrar que o arquivo foi assinado por "AppWork GmbH", então ele é legítimo.
Se não houver assinatura ou se o nome for diferente, o arquivo deve ser evitado.
A equipe do JDownloader disse que analisar os payloads maliciosos estava "fora do nosso escopo", mas compartilhou um arquivo compactado com os instaladores maliciosos para que outros pesquisadores pudessem analisá-los.
O pesquisador de cibersegurança Thomas Klemenc analisou os executáveis maliciosos para Windows e compartilhou indicadores de comprometimento, os IOCs, do malware.
Segundo Klemenc, o malware atua como um loader que instala um RAT baseado em Python fortemente ofuscado.
Klemenc afirmou que o payload em Python funciona como um bot modular e como um framework de RAT, permitindo que os atacantes executem código Python entregue pelos servidores de command and control, C2.
O pesquisador também compartilhou dois servidores de command and control usados pelo malware.
A análise do BleepingComputer sobre o instalador em shell para Linux modificado encontrou código malicioso injetado no script, que baixa um arquivo compactado de "checkinnhotels[.]com" disfarçado de arquivo SVG.
Depois de baixado, o script extrai dois binários ELF chamados "pkg" e "systemd-exec" e então instala "systemd-exec" como um binário SUID-root em "/usr/bin/".
Em seguida, o instalador copia o payload principal para "/root/.local/share/.pkg", cria um script de persistência em "/etc/profile.d/systemd.sh" e executa o malware enquanto se disfarça como "/usr/libexec/upowerd".
O payload "pkg" também está fortemente ofuscado com Pyarmor, então ainda não está claro qual função ele desempenha.
O JDownloader afirma que os usuários só correm risco se baixaram e executaram os instaladores afetados enquanto o site estava comprometido.
Como o malware poderia ter executado código arbitrário em dispositivos infectados, quem instalou os instaladores maliciosos é orientado a reinstalar o sistema operacional.
Também é possível que credenciais tenham sido comprometidas nos dispositivos, por isso é fortemente recomendável redefinir as senhas após a limpeza das máquinas.
Hackers têm mirado cada vez mais os sites de ferramentas de software populares neste ano para distribuir malware a usuários desavisados.
Em abril, hackers comprometeram o site da CPUID para alterar links de download que serviam executáveis maliciosos para as populares ferramentas CPU-Z e HWMonitor.
No início deste mês, threat actors comprometeram o site da DAEMONTOOLS para distribuir instaladores adulterados contendo um backdoor.
Publicidade
Nossa audiência é formada por analistas, pentesters, decisores e entusiastas que consomem nossas notícias todo dia pelo Site, Newsletter e Instagram. Fale com quem realmente importa para o seu negócio. Anuncie aqui. Saiba mais...