🔥 Fique por dentro das novidades mais quentes do momento! 🔥
Confira agora e compartilhe com seus amigos!
Apoie esse projeto de divulgacao de noticias! Clique aqui
O site do popular gerenciador de download JDownloader foi comprometido no início desta semana para distribuir instaladores maliciosos do Windows e do Linux, e a carga útil do Windows foi encontrada implantando um trojan de acesso remoto baseado em Python.
O ataque à cadeia de suprimentos afeta aqueles que baixaram instaladores do site oficial entre 6 e 7 de maio de 2026 por meio dos links “Baixar instalador alternativo” do Windows ou do instalador shell do Linux.
De acordo com os desenvolvedores, os invasores modificaram os links de download do site para apontar para cargas maliciosas de terceiros, em vez de instaladores legítimos.
JDownloader é um aplicativo de gerenciamento de download gratuito amplamente utilizado que oferece suporte a downloads automatizados de serviços de hospedagem de arquivos, sites de vídeo e geradores de links premium. O software está disponível há mais de uma década e é usado por milhões de pessoas em todo o mundo no Windows, Linux e macOS.
O ataque à cadeia de suprimentos do JDownloader
O comprometimento foi relatado pela primeira vez no Reddit por um usuário chamado “PrinceOfNightSky”, que percebeu que os instaladores baixados estavam sendo sinalizados pelo Microsoft Defender.
“Estou usando o Jdownloader e mudei para um novo PC há algumas semanas. Felizmente eu tinha o instalador em uma unidade USB, mas decidi baixar a versão mais recente”, postou PrinceOfNightSky no Reddit.
“O site é oficial, mas todos os Exes para Windows estão sendo relatados como software malicioso pelo Windows e o desenvolvedor está listado como ‘Zipline LLC’. E outras vezes diz 'The Water Team' O software é obviamente da Appwork e tenho que desbloqueá-lo manualmente do Windows para executá-lo, o que não farei."
Os desenvolvedores do JDownloader confirmaram posteriormente que o site havia sido comprometido e o colocaram offline para investigar o incidente.
Em um relatório de incidente, os desenvolvedores disseram que seu site foi comprometido por invasores que exploraram uma vulnerabilidade não corrigida que lhes permitiu alterar listas de controle de acesso e conteúdo do site sem autenticação.
“Foram feitas alterações no sistema de gerenciamento de conteúdo do site, afetando páginas e links publicados”, diz o relatório do incidente.
“O invasor não obteve acesso à pilha de servidores subjacente – em particular, nenhum acesso ao sistema de arquivos host ou controle mais amplo no nível do sistema operacional além do conteúdo da web gerenciado pelo CMS.”
Os desenvolvedores afirmaram que o comprometimento afetou apenas os links alternativos para download do instalador do Windows e o link do instalador do shell do Linux. Atualizações no aplicativo, downloads do macOS, pacotes Flatpak, Winget, Snap e o pacote JAR principal do JDownloader não foram modificados.
Os desenvolvedores também disseram que os usuários podem confirmar se um instalador é legítimo clicando com o botão direito do mouse no arquivo, selecionando Propriedades e clicando na guia Assinaturas Digitais.
Se a Assinatura Digital mostrar que foi assinada por "AppWork GmbH", então ela é legítima. Porém, se o arquivo não estiver assinado ou tiver um nome diferente, ele deve ser evitado.
Instalador JDownloader legítimo assinadoFonte: BleepingComputer
A equipe do JDownloader disse que analisar as cargas maliciosas estava “fora do nosso escopo”, mas compartilhou um arquivo dos instaladores maliciosos para que outros pudessem analisá-los.
O pesquisador de segurança cibernética Thomas Klemenc analisou os executáveis maliciosos do Windows e compartilhou indicadores de comprometimento (IOCs) para o malware.
De acordo com Klemenc, o malware atua como um carregador que implanta um RAT baseado em Python altamente ofuscado.
Klemenc disse que a carga útil do Python atua como um bot modular e uma estrutura RAT, permitindo que invasores executem código Python entregue a partir dos servidores de comando e controle (C2).
O pesquisador também compartilhou dois servidores de comando e controle usados pelo malware:
https://parkspringshotel[.]com/m/Lu6aeloo.php
https://auraguest[.]lk/m/douV2quu.php
A análise do BleepingComputer do instalador modificado do shell do Linux encontrou código malicioso injetado no script que baixa um arquivo de ‘checkinnhotels[.]com’ disfarçado como um arquivo SVG.
Código malicioso no instalador JDownloader Linux modificadoFonte: BleepingComputer
Após o download, o script extrai dois binários ELF chamados 'pkg` e `systemd-exec` e instala 'systemd-exec' como um binário raiz SUID em '/usr/bin/'.
O instalador então copiou a carga principal para '/root/.local/share/.pkg', criou um script de persistência em '/etc/profile.d/systemd.sh' e lançou o malware enquanto se disfarçava como '/usr/libexec/upowerd`.
A carga útil 'pkg' também é fortemente ofuscada usando Pyarmor, então não está claro qual funcionalidade ela executa.
JDownloader diz que os usuários só correm risco se baixarem e executarem os instaladores afetados enquanto o site estiver comprometido.
Como o código arbitrário pode ter sido executado pelo malware nos dispositivos infectados, aqueles que instalaram os instaladores maliciosos são aconselhados a reinstalar os seus sistemas operacionais.
Também é possível que as credenciais tenham sido comprometidas nos dispositivos, então eu
O ataque à cadeia de suprimentos afeta aqueles que baixaram instaladores do site oficial entre 6 e 7 de maio de 2026 por meio dos links “Baixar instalador alternativo” do Windows ou do instalador shell do Linux.
De acordo com os desenvolvedores, os invasores modificaram os links de download do site para apontar para cargas maliciosas de terceiros, em vez de instaladores legítimos.
JDownloader é um aplicativo de gerenciamento de download gratuito amplamente utilizado que oferece suporte a downloads automatizados de serviços de hospedagem de arquivos, sites de vídeo e geradores de links premium. O software está disponível há mais de uma década e é usado por milhões de pessoas em todo o mundo no Windows, Linux e macOS.
O ataque à cadeia de suprimentos do JDownloader
O comprometimento foi relatado pela primeira vez no Reddit por um usuário chamado “PrinceOfNightSky”, que percebeu que os instaladores baixados estavam sendo sinalizados pelo Microsoft Defender.
“Estou usando o Jdownloader e mudei para um novo PC há algumas semanas. Felizmente eu tinha o instalador em uma unidade USB, mas decidi baixar a versão mais recente”, postou PrinceOfNightSky no Reddit.
“O site é oficial, mas todos os Exes para Windows estão sendo relatados como software malicioso pelo Windows e o desenvolvedor está listado como ‘Zipline LLC’. E outras vezes diz 'The Water Team' O software é obviamente da Appwork e tenho que desbloqueá-lo manualmente do Windows para executá-lo, o que não farei."
Os desenvolvedores do JDownloader confirmaram posteriormente que o site havia sido comprometido e o colocaram offline para investigar o incidente.
Em um relatório de incidente, os desenvolvedores disseram que seu site foi comprometido por invasores que exploraram uma vulnerabilidade não corrigida que lhes permitiu alterar listas de controle de acesso e conteúdo do site sem autenticação.
“Foram feitas alterações no sistema de gerenciamento de conteúdo do site, afetando páginas e links publicados”, diz o relatório do incidente.
“O invasor não obteve acesso à pilha de servidores subjacente – em particular, nenhum acesso ao sistema de arquivos host ou controle mais amplo no nível do sistema operacional além do conteúdo da web gerenciado pelo CMS.”
Os desenvolvedores afirmaram que o comprometimento afetou apenas os links alternativos para download do instalador do Windows e o link do instalador do shell do Linux. Atualizações no aplicativo, downloads do macOS, pacotes Flatpak, Winget, Snap e o pacote JAR principal do JDownloader não foram modificados.
Os desenvolvedores também disseram que os usuários podem confirmar se um instalador é legítimo clicando com o botão direito do mouse no arquivo, selecionando Propriedades e clicando na guia Assinaturas Digitais.
Se a Assinatura Digital mostrar que foi assinada por "AppWork GmbH", então ela é legítima. Porém, se o arquivo não estiver assinado ou tiver um nome diferente, ele deve ser evitado.
Instalador JDownloader legítimo assinadoFonte: BleepingComputer
A equipe do JDownloader disse que analisar as cargas maliciosas estava “fora do nosso escopo”, mas compartilhou um arquivo dos instaladores maliciosos para que outros pudessem analisá-los.
O pesquisador de segurança cibernética Thomas Klemenc analisou os executáveis maliciosos do Windows e compartilhou indicadores de comprometimento (IOCs) para o malware.
De acordo com Klemenc, o malware atua como um carregador que implanta um RAT baseado em Python altamente ofuscado.
Klemenc disse que a carga útil do Python atua como um bot modular e uma estrutura RAT, permitindo que invasores executem código Python entregue a partir dos servidores de comando e controle (C2).
O pesquisador também compartilhou dois servidores de comando e controle usados pelo malware:
https://parkspringshotel[.]com/m/Lu6aeloo.php
https://auraguest[.]lk/m/douV2quu.php
A análise do BleepingComputer do instalador modificado do shell do Linux encontrou código malicioso injetado no script que baixa um arquivo de ‘checkinnhotels[.]com’ disfarçado como um arquivo SVG.
Código malicioso no instalador JDownloader Linux modificadoFonte: BleepingComputer
Após o download, o script extrai dois binários ELF chamados 'pkg` e `systemd-exec` e instala 'systemd-exec' como um binário raiz SUID em '/usr/bin/'.
O instalador então copiou a carga principal para '/root/.local/share/.pkg', criou um script de persistência em '/etc/profile.d/systemd.sh' e lançou o malware enquanto se disfarçava como '/usr/libexec/upowerd`.
A carga útil 'pkg' também é fortemente ofuscada usando Pyarmor, então não está claro qual funcionalidade ela executa.
JDownloader diz que os usuários só correm risco se baixarem e executarem os instaladores afetados enquanto o site estiver comprometido.
Como o código arbitrário pode ter sido executado pelo malware nos dispositivos infectados, aqueles que instalaram os instaladores maliciosos são aconselhados a reinstalar os seus sistemas operacionais.
Também é possível que as credenciais tenham sido comprometidas nos dispositivos, então eu
#samirnews #samir #news #boletimtec #site #jdownloader #hackeado #para #substituir #instaladores #por #malware #python #rat
💡 Compartilhe e ajude nosso projeto a crescer!
Postar um comentário