Взлом JDownloader: Вместо установщика распространялось вредоносное ПО

Официальный сайт популярного менеджера загрузок JDownloader стал жертвой хакерской атаки. В течение примерно 48 часов, с 6 по 7 мая, вместо легитимных установочных файлов для операционных систем Windows и Linux сайт распространял вредоносное программное обеспечение.

JDownloader, широко используемый энтузиастами прямых загрузок за его способность обходить ограничения, столкнулся с инцидентом безопасности, который можно классифицировать как атаку на цепочку поставок. Злоумышленники скомпрометировали официальный веб-сайт, подменив некоторые ссылки для скачивания на вредоносные исполняемые файлы.

Модифицированные ссылки в системе управления контентом

Команда, ответственная за проект JDownloader, сообщила, что были затронуты две конкретные ссылки: опция «Download Alternative Installer» для Windows и URL-адрес, ведущий к установщику командной строки для Linux. Разработчики утверждают, что их оригинальные установочные пакеты не были модифицированы, и базовая инфраструктура программного обеспечения осталась нетронутой. Также подчеркивается, что все обновления, устанавливаемые через встроенную систему приложения, подписываются RSA и криптографически проверяются, что гарантирует их безопасность независимо от скомпрометированных ссылок на сайте.

Хронология инцидента такова: 5 мая вечером злоумышленники внесли первое изменение на менее заметную страницу сайта. К 6 мая около двух часов ночи (по центральноевропейскому времени) две вредоносные ссылки были внедрены на главную страницу загрузки. Тревогу поднял пользователь Reddit 7 мая примерно в 19:00 (по центральноевропейскому времени), после чего команда JDownloader незамедлительно начала расследование и в 19:24 остановила сервер. Сайт оставался недоступным для очистки и проверки до ночи с 8 на 9 мая, когда он был вновь запущен.

Как проверить легитимность загруженного файла

Пользователям, загрузившим JDownloader в период с 6 по 7 мая, настоятельно рекомендуется проявить особую осторожность. Для проверки файла под Windows команда советует проверить цифровую подпись (нажмите правой кнопкой мыши на файл, выберите «Свойства», затем вкладку «Цифровые подписи»). Если в качестве издателя указано «AppWork GmbH», файл можно считать легитимным. Разработчики также предоставили таблицу с точными размерами и контрольными суммами (checksum) для различных версий клиента, чтобы пользователи могли убедиться в подлинности своих файлов.

В случае, если подозрительный файл был загружен и затем запущен, JDownloader рекомендует выполнить полную переустановку операционной системы и превентивно изменить все учетные данные (логины, пароли), которые могли храниться на скомпрометированной машине.

Детали вредоносного ПО

Согласно анализу Томаса Клеменца из Malcat, файл, распространяемый пиратами, содержал не только легитимный установщик JDownloader, но и вредоносную нагрузку типа RAT (троян удаленного доступа), написанную на Python. Похожее поведение наблюдалось и в Linux-версии, где вредоносное ПО устанавливалось постоянно и скрывало свою активность с помощью инструмента обфускации Pyarmor.

Этот инцидент является еще одним примером растущей тенденции атак на цепочки поставок, когда злоумышленники нацеливаются не на само программное обеспечение, а на каналы его распространения. В прошлом подобные атаки затронули такие известные проекты, как CPU-Z, Daemon Tools, а также компоненты с открытым исходным кодом, как Axios или Trivy.