В начале мая 2026 года неизвестные атаковали официальный сайт популярного менеджера загрузок JDownloader. Они изменили несколько ссылок для скачивания установочных файлов, перенаправив пользователей на вредоносные программы. Инцидент затронул только тех, кто загружал установщики в строго определённый промежуток времени - с полуночи 6 мая до вечера 7 мая по всемирному координированному времени.
Описание
Разработчики JDownloader оперативно отреагировали: уже через несколько часов после обнаружения проблемы сайт был полностью отключён, а вредоносные ссылки удалены. В ночь с 8 на 9 мая работа ресурса восстановлена, все ссылки на установщики проверены и безопасны. Официальные пакеты самого JDownloader не пострадали - злоумышленники не взламывали файлы, а лишь перенаправляли посетителей на сторонние вредоносные загрузки.
Как произошла атака
События развивались стремительно. Пятого мая около полуночи по UTC злоумышленники провели тестовую атаку на мало посещаемую страницу, чтобы проверить свой метод. Уже через несколько минут, уже шестого мая, они изменили целевые адреса для двух типов установщиков на сайте: для "Download Alternative Installer" под Windows и для shell-установщика под Linux. Другие способы загрузки, включая основной установщик, а также обновления через встроенный механизм JDownloader, не пострадали.
Опасность длилась чуть больше суток. Седьмого мая в 17:06 UTC кто-то сообщил о подозрительных файлах на Reddit. Разработчики моментально подтвердили инцидент и в 17:24 остановили сервер. После этого они удалили вредоносные ссылки, восстановили правильные и усилили защиту конфигурации.
Технически атака была ограничена. Взломщики получили доступ только к системе управления контентом (CMS) сайта. Они не проникли на уровень операционной системы сервера и не получили доступа к файловой системе. Поэтому личные данные пользователей, включая базы учётных записей, остались в безопасности.
Кто в зоне риска
В группу потенциально пострадавших входят только те, кто скачал и запустил установщик по одной из подменённых ссылок в период с 00:01 UTC 6 мая до 17:24 UTC 7 мая. Если вы просто заходили на сайт или скачивали файл, но не запускали его, риск минимален. Также абсолютно безопасны обновления, полученные через встроенный апдейтер приложения, - они подписываются цифровой подписью RSA и проверяются криптографически.
Остальные каналы распространения JDownloader, которые разработчики проверили, не связаны с инцидентом. Это установка через менеджеры пакетов winget, Flatpak (в том числе Flathub), Snap и образы Docker из официальных реестров.
## Как распознать вредоносный файл
Сами установщики JDownloader не изменялись - злоумышленники разместили полностью посторонние вредоносные файлы на сторонних серверах. Для Windows это были исполняемые файлы (".exe") с версиями в имени вроде "v11_0_30", "v17_0_18" и другими. Для Linux - shell-скрипт "JDownloader2Setup_unix_nojre.sh". Размер и хеши SHA256 этих файлов опубликованы разработчиками в официальном отчёте. Если вы сохранили скачанный файл, можно сравнить его хеш с указанными - совпадение означает, что файл вредоносный, его нельзя запускать.
Под Windows самый простой способ проверить - посмотреть цифровую подпись. Настоящие установщики от JDownloader подписаны компанией AppWork GmbH. Если подпись отсутствует или издатель незнакомый, файл лучше удалить. Также не стоит игнорировать предупреждения антивируса Microsoft Defender или SmartScreen. Если они блокируют запуск, ни в коем случае не обходите защиту.
Что делать пострадавшим
Если вы точно знаете, что скачали и запустили такой файл, или есть подозрения, разработчики настоятельно рекомендуют выполнить чистую переустановку операционной системы. Антивирусная проверка может не обнаружить всех механизмов закрепления вредоносного кода. До очистки системы не стоит входить в важные учётные записи с этого компьютера и лучше сменить пароли от критичных сервисов с другого устройства.
После восстановления системы следует восстановить личные файлы только из проверенных резервных копий. Если вы не уверены, запускали ли установщик, достаточно провести полное сканирование актуальным антивирусом. Если файл не был исполнен, его нужно просто удалить и скачать свежий установщик с официального раздела загрузок на jdownloader.org.
Общие уроки безопасности
Этот случай - напоминание о важности проверки цифровых подписей перед запуском любого установщика, особенно скачанного из интернета. Всегда обращайте внимание на предупреждения системы безопасности. Не отключайте защиту в реальном времени. Используйте официальные каналы распространения: встроенные обновления приложений, магазины приложений или проверенные репозитории пакетов.
Разработчики JDownloader уже усилили защиту сайта и устранили уязвимость в CMS. Они обещают внедрить дополнительные меры для предотвращения подобных инцидентов в будущем. Для пользователей главный вывод: если сомневаетесь - приостановите установку, проверьте источник и только потом запускайте файл.
Индикаторы компрометации
SHA256
- 04cb9f0bca6e0e4ed30bc92726590724bf60938440b3825252657d1b3af45495
- 32891c0080442bf0a0c5658ada2c3845435b4e09b114599a516248723aad7805
- 4ff7eec9e69b6008b77de1b6e5c0d18aa717f625458d80da610cb170c784e97c
- 5a6636ce490789d7f26aaa86e50bd65c7330f8e6a7c32418740c1d009fb12ef3
- 6d975c05ef7a164707fa359284a31bfe0b1681fe0319819cb9e2c4eec2a1a8af
- de8b2bdfc61d63585329b8cfca2a012476b46387435410b995aeae5b502bd95e
- e4a20f746b7dd19b8d9601b884e67c8166ea9676b917adea6833b695ba13de16
- fb1e3fe4d18927ff82cffb3f82a0b4ffb7280c85db5a8a8b6f6a1ac30a7e7ed9
