Популярный менеджер загрузок JDownloader стал каналом распространения вредоносного ПО: взлом сайта затронул миллионы пользователей

Ставший уже привычным сценарий: разработчики теряют контроль над собственной инфраструктурой, и их же продукт начинает работать против пользователей. В случае с JDownloader инцидент произошел в начале мая 2026 года. Разработчики подтвердили, что несанкционированный доступ к веб-инфраструктуре проекта был получен в промежутке между 6 и 7 мая. За это короткое, но критическое окно атакующие успели модифицировать ссылки для скачивания. Вместо оригинального программного обеспечения пользователи, посетившие сайт в эти дни, получали установщики, в которые была встроена функция удаленного доступа.

Согласно сообщениям на Reddit и аналитическим отчетам специалистов по безопасности, первыми тревогу забили сами юзеры. Они заметили необычное поведение антивирусов, а также подозрительные данные в свойствах файлов: в качестве издателя значились сомнительные организации вроде "Zipline LLC" и "The Water Team" вместо законного разработчика AppWork. Компрометация затронула два конкретных канала: так называемый "альтернативный установщик" для Windows и скрипты командной строки для операционной системы Linux. При этом другие дистрибутивы, включая сборки для macOS, пакеты JAR, а также версии из магазинов приложений Flatpak, Snap и Winget, остались нетронутыми.

Технический анализ, проведенный энтузиастами и экспертами, показал, что вредоносная нагрузка представляла собой серьезную угрозу. Вредоносный Windows-установщик разворачивал в системе так называемый RAT (троян удаленного доступа), написанный на Python. Подобное вредоносное ПО дает атакующему практически полный контроль над зараженным компьютером: возможность выполнять команды, похищать данные, отключать защиту и загружать дополнительные модули. Вредоносные скрипты для Linux несли аналогичную угрозу. Сообщество на Reddit сообщило, что один из пользователей, изучил образец и выяснил технические детали. Злоумышленники использовали многоступенчатую обфускацию: легитимный установщик был обернут во вредоносную оболочку, которая после расшифровки запускала защищенный фреймворк PyArmor. Финальный код представлял собой мощного бота с функциями скрытого управления, использующего для связи с командными серверами шифрование RSA-OAEP и AES-GCM. Сеть управления состояла из нескольких площадок, включая анонимные onion-адреса в сети Tor.

Сама методика взлома оказалась классической для современных веб-атак. Разработчики JDownloader установили, что злоумышленники использовали неисправленную уязвимость в системе управления содержимым сайта (CMS). Эта брешь позволяла изменять права доступа к файлам без процедуры аутентификации. Фактически, атакующий мог модифицировать содержимое ключевых страниц, не вводя пароль. Как только доступ был получен, ссылки на сайте были заменены. Самое опасное в этой тактике - сохранение видимости нормального процесса загрузки. Пользователь, доверяя официальному источнику, не заподозрил подвоха. Единственной зацепкой для многих стала работа "Защитника Windows" и других антивирусных программ, которые блокировали исполнение неподписанных файлов. Вредоносные установщики, в отличие от настоящих, не имели валидной цифровой подписи.

Реакция команды разработчиков JDownloader заслуживает отдельного упоминания как пример грамотного управления инцидентом. В течение нескольких часов после подтверждения атаки сайт был полностью отключен. Разработчики оперативно начали публиковать подробные обновления на Reddit и форуме проекта, детально рассказывая о векторе атаки, затронутых версиях и ходе работ. Они честно признались, что пока не провели полный анализ вредоносных файлов, и попросили помощи у сообщества. К 8 мая сайт был восстановлен, но уже с усиленной защитой и исправленной конфигурацией. Важно отметить, что атака коснулась только файлов, скачиваемых с веб-сайта. Внутренние функции обновления самого приложения, как и пакеты из сторонних репозиториев, остались под защитой собственной инфраструктуры разработчиков.

Для тех, кто скачал JDownloader в период с 6 по 7 мая, ситуация остается серьезной. Даже если антивирус сработал и удалил подозрительный файл, эксперты настоятельно рекомендуют не рисковать. Разработчики посоветовали пострадавшим пользователям полностью переустановить операционную систему. Дело в том, что троян удаленного доступа мог не только закрепиться в системе, но и выполнить скрытые действия до своего обнаружения, изменить конфигурации безопасности или похитить данные учетных записей. Этот случай - суровое напоминание всей индустрии о том, что доверять одному лишь официальному сайту недостаточно. Компрометация цепочки поставок программного обеспечения остается одной из самых эффективных стратегий атакующих. Для обычного пользователя это означает необходимость сверять контрольные суммы файлов (хэши) с официально опубликованными значениями и обращать внимание на предупреждения операционной системы о неподписанном коде.

IPv4

• 172.96.172.91
• 209.133.215.178

URLs

• auraguest.lk/m/douV2quu.php
• http://2wxjoz6lkdxkniksujbdknkugweemx7uvxdr4ejgyipce4tnvktvbvqd.onion/t
• https://auraguest.lk/m/douV2quu.php
• https://codeberg.org/etienne74/guix/raw/branch/master/.gitignore
• https://parkspringshotel.com/m/Lu6aeloo.php
• https://rentry.co/zzk7opdu
• https://rentry.org/wayc2qqz
• https://telegra.ph/ki06-05-02
• https://telegra.ph/tr02-05-02
• parkspringshotel.com/m/Lu6aeloo.php

C2 public key

• C81D723205A25D4CB8BAB7B31889623EDF5F7E94D63DF0D224225B566864CEC2

Registry

• HKCU\SOFTWARE\Python
• HKCU\SOFTWARE\Python\CC1C7D3B6737F0
• HKCU\SOFTWARE\Python\CB3942076F2DE33B29B6
• HKCU\SOFTWARE\Python\C63C4C3F7D0ED418
• HKCU\SOFTWARE\Python\{RC4(config_rc4, config_key).hex().upper()}
• HKLM\SOFTWARE\$77config
• HKLM\SOFTWARE\$77config\pid
• HKLM\SOFTWARE\$77config\registry_paths
• HKLM\SOFTWARE\$77config\pid\uaMb

Mutex

• Global\0C3C1D37

Linux

• ~/.local/share/.{RC4(config_rc4, config_key).hex().upper()}