JDownloader site hacked to replace installers with Python RAT malware
Mis à jour :
Compromission de la chaîne d’approvisionnement de JDownloader
Le site officiel du gestionnaire de téléchargement JDownloader a été compromis entre le 6 et le 7 mai 2026. Des attaquants ont modifié les liens de téléchargement pour distribuer des installeurs malveillants pour Windows et Linux.
Points clés :
- Nature de l’attaque : Attaque par chaîne d’approvisionnement (supply chain attack) via le remplacement de fichiers légitimes par des charges utiles malveillantes.
- Impact : Seuls les « installateurs alternatifs » Windows et l’installateur shell Linux ont été affectés. Les mises à jour in-app, macOS et les paquets (Flatpak, Winget, Snap) sont restés intègres.
- Objectif : Déploiement d’un RAT (Remote Access Trojan) basé sur Python, capable d’exécuter du code arbitraire et de maintenir une persistance sur le système.
- Vecteur d’intrusion : Exploitation d’une vulnérabilité non corrigée dans le système de gestion de contenu (CMS) du site web, permettant de modifier les listes de contrôle d’accès et le contenu sans authentification.
Vulnérabilités :
- Aucun identifiant CVE spécifique n’a été publié, la faille résidant dans une vulnérabilité non patchée du CMS du site web permettant un accès non autorisé.
Recommandations :
- Vérification de l’intégrité : Pour les installeurs, vérifier la signature numérique dans l’onglet « Signatures numériques » des propriétés du fichier. Seule la signature « AppWork GmbH » est légitime.
- Remédiation immédiate : Si un installateur compromis a été exécuté, les développeurs recommandent une réinstallation complète du système d’exploitation.
- Sécurité des comptes : Procéder à une réinitialisation systématique des mots de passe ayant été utilisés sur les machines infectées, car le RAT permet le vol d’identifiants.
- Analyse IOC : Bloquer les communications vers les domaines C2 identifiés :
parkspringshotel[.]cometauraguest[.]lk.