Атака на сайт JDownloader: злоумышленники подменили установщик через уязвимость CMS

Инцидент произошёл 6 мая 2026 года. Атакующие использовали неисправленную уязвимость в системе управления контентом (CMS) сайта JDownloader. Они изменили ссылки на альтернативный установщик Windows и Shell-скрипт для Linux, направив пользователей на сторонний вредоносный сервер. Уже на следующий день один из посетителей Reddit сообщил, что загруженный файл был обнаружен антивирусом Windows Defender. Разработчики JDownloader отреагировали мгновенно: через 18 минут сайт был закрыт на расследование. К 8-9 мая работа ресурса была восстановлена, но ущерб оказался нанесён - тысячи пользователей могли стать жертвами.

Анализ произошедшего показывает, что атака была многоэтапной. Вредоносное ПО распространялось в виде двух отдельных файлов. Первый из них - так называемый дроппер (программа-загрузчик). Он содержал в себе легитимный установщик JDownloader для маскировки и второй, вредоносный исполняемый файл. Дроппер извлекал оба компонента из своих ресурсов, шифруя их простым алгоритмом XOR, а затем запускал одновременно. Пользователь видел обычный процесс установки JDownloader, в то время как в фоне уже стартовал вредоносный код.

Второй этап был направлен на обход систем безопасности. Вредоносная программа проверяла, установлены ли на компьютере популярные антивирусы, и при их обнаружении пыталась их отключить или удалить. Специалисты компании, обнаружившие эту активность, отмечают, что злоумышленники использовали методы, характерные для продвинутых угроз. Они вносили изменения в политики управления приложениями Windows (WDAC) и даже применяли инъекцию кода в доверенные процессы операционной системы, чтобы избежать обнаружения.

Для маскировки своей активности вредоносная программа использовала инструмент PyArmor версии 8 и выше. Это средство шифрует код на языке Python, делая его трудночитаемым для антивирусных движков. Таким образом был упакован основной бэкдор (программа для удалённого управления) на Python 3.14. На Windows он распространялся как скрипт, а на Linux - в виде исполняемого файла, собранного с помощью PyInstaller. Linux-версия также имела механизм закрепления в системе с root-правами.

Сам бэкдор обладал множеством функций для скрытной работы. Он связывался с командным сервером (C2) через специальный алгоритм генерации доменных имён (DGA). Каждый день создавалось двадцать потенциальных доменов, и бэкдор перебирал их в поисках активного сервера. Если DGA не срабатывал, использовался резервный метод - "мёртвый почтовый ящик" (DDR): программа искала адрес сервера на публичных платформах вроде Telegra.ph или Pastebin. В крайнем случае применялся протокол Tor для доступа к сайтам в даркнете.

Вся связь с командным сервером шифровалась. Сначала использовался алгоритм RSA для обмена ключами, затем - AES-256-GCM для передачи команд и данных. Это делало перехват трафика бесполезным для анализа. Бэкдор мог выполнять произвольные команды, загружать и запускать файлы, а также удалять себя по команде. Для закрепления в системе создавались задачи в планировщике Windows и записи в реестре, а на Linux - cron-задания и файлы автозапуска в XDG.

Последствия этой атаки серьёзны. JDownloader - инструмент с миллионной аудиторией по всему миру. Пользователи привыкли доверять официальному сайту, и теперь эта уверенность подорвана. Атака показала, что даже уязвимость в системе управления контентом может привести к масштабному заражению. Разработчикам открытых проектов стоит уделять больше внимания безопасности своих сайтов, регулярно обновлять CMS и использовать механизмы проверки целостности дистрибутивов.

Обычным пользователям можно посоветовать проверять цифровые подписи установочных файлов, даже если они скачаны с официального сайта. Также важно иметь надёжное антивирусное решение и своевременно обновлять его. Однако главный урок для сообщества - необходимо критически относиться к любым источникам, даже к тем, которые долгое время считались безопасными. Только комплексный подход к защите может снизить риски от подобных атак на цепочку поставок.

Domains

• auraguest.lk
• parkspringshotel.com

MD5

• 17b52e1b45a31e30f51cd1e08faa2b08
• 26a2abcd92a1fe2be7832c437103b170
• 626803a57697acedc578e93232d9a482
• 78d5a63d4de6eb347b4f2ef16dea4f0b
• 7d1676c965d64ea00b7a7601353873ae
• c19d686e686b6b391a4e6583bc7909fb
• d3b398a757b424f91e645985ade00516
• ec99e2a51151117876e67635ed4e575d
• ee4346d277995bf40196c054de1627f4