Hakerzy przejęli stronę JDownloadera. Tysiące użytkowników mogły pobrać złośliwe oprogramowanie

Użytkownicy popularnego programu JDownloader znaleźli się w niebezpiecznej sytuacji po tym, jak oficjalna strona aplikacji została zhakowana i zaczęła rozsyłać zainfekowane instalatory dla systemów Windows oraz Linux. Atak trwał przez dwa dni, ale to wystarczyło, by tysiące osób mogły pobrać pliki zawierające groźnego trojana typu RAT opartego na Pythonie.

JDownloader od lat należy do najpopularniejszych menedżerów pobierania na świecie. Program jest używany przez miliony osób korzystających z Windowsa, Linuksa i macOS. Tym razem cyberprzestępcy wykorzystali zaufanie użytkowników do oficjalnej strony projektu.

Wszystko zaczęło się od alertu Microsoft Defendera

Pierwsze sygnały o problemie pojawiły się na Reddicie. Jeden z użytkowników zauważył, że świeżo pobrany instalator JDownloadera został natychmiast oznaczony przez Microsoft Defender jako potencjalnie niebezpieczny.

Szczególną uwagę zwróciły nietypowe podpisy cyfrowe. Zamiast oficjalnego wydawcy AppWork GmbH część plików była oznaczona nazwami „Zipline LLC” lub „The Water Team”. To właśnie ten szczegół uruchomił lawinę podejrzeń.

Twórcy JDownloadera początkowo wyłączyli stronę, a później potwierdzili włamanie. Okazało się, że atakujący wykorzystali niezałataną lukę w systemie CMS odpowiedzialnym za zarządzanie witryną. Dzięki temu mogli podmienić linki prowadzące do legalnych instalatorów na własne pliki ze złośliwym oprogramowaniem.

Zainfekowany instalator uruchamiał trojana RAT

Analiza przeprowadzona przez specjalistów ds. cyberbezpieczeństwa pokazała, że złośliwe pliki dla Windowsa działały jako loader uruchamiający mocno zaciemnionego trojana Remote Access Trojan napisanego w Pythonie.

Taki malware daje atakującym bardzo szerokie możliwości. Cyberprzestępcy mogą zdalnie wykonywać polecenia na komputerze ofiary, pobierać dodatkowe moduły, kraść dane logowania lub instalować kolejne elementy infekcji.

Badacze ustalili również adresy serwerów dowodzenia i kontroli wykorzystywanych przez malware. Złośliwe oprogramowanie komunikowało się z infrastrukturą ukrytą pod domenami przypominającymi strony hotelowe. To popularna metoda maskowania aktywności cyberprzestępców.

Linux także został zaatakowany

Atak nie ograniczał się wyłącznie do użytkowników Windowsa. Zainfekowany został również instalator powłoki dla Linuksa. W tym przypadku cyberprzestępcy ukryli złośliwy kod w pliku SVG pobieranym podczas procesu instalacji.

Po uruchomieniu skrypt instalował dodatkowe pliki binarne ELF i uzyskiwał podwyższone uprawnienia systemowe. Malware próbował następnie ukryć swoją obecność pod nazwą procesów przypominających legalne komponenty systemu Linux.

Eksperci podkreślają, że poziom zaciemnienia kodu wskazuje na dobrze przygotowaną operację. Część elementów została zabezpieczona przy użyciu Pyarmor, narzędzia służącego do utrudniania analizy programów napisanych w Pythonie.

Kto jest zagrożony?

Według zespołu JDownloader zagrożone są osoby, które pobrały alternatywne instalatory Windows lub skrypt instalacyjny Linux między 6 a 7 maja 2026 roku i faktycznie uruchomiły te pliki.

Twórcy podkreślają, że główny pakiet JAR, aktualizacje aplikacji, wydania macOS, Flatpak, Snap czy Winget pozostały bezpieczne.

Problem polega jednak na tym, że trojan RAT mógł wykonywać dowolny kod na zainfekowanych urządzeniach. Dlatego specjaliści rekomendują pełną reinstalację systemu operacyjnego oraz natychmiastową zmianę wszystkich haseł zapisanych na komputerze.

Ataki na popularne programy stają się plagą

To kolejny przypadek ataku na łańcuch dostaw oprogramowania w ostatnich miesiącach. Cyberprzestępcy coraz częściej przejmują strony znanych aplikacji i podmieniają instalatory na zainfekowane wersje.

W kwietniu podobny incydent dotknął stronę CPUID odpowiedzialną za dystrybucję CPU-Z i HWMonitor. Niedawno zaatakowano również witrynę DAEMON Tools.

Eksperci alarmują, że takie operacje są wyjątkowo skuteczne, bo użytkownicy pobierający pliki z oficjalnych stron zwykle nie spodziewają się zagrożenia. Dla cyberprzestępców to idealny sposób na masowe infekowanie komputerów bez konieczności stosowania klasycznych kampanii phishingowych.