JDownloader 网站遭黑客攻击，安装程序被替换为 Python 远控木马

本周早些时候，广受欢迎的下载管理器 JDownloader 的官方网站遭入侵，被用于分发恶意的 Windows 和 Linux 安装程序，其中 Windows 版本的有效载荷被发现会部署基于 Python 的远程访问木马（RAT）。

此次供应链攻击影响了 2026 年 5 月 6 日至 5 月 7 日期间，通过 Windows “备用下载安装程序” 链接或 Linux shell 安装程序，从官方网站下载安装程序的用户。

据开发者称，攻击者修改了网站的下载链接，使其指向恶意的第三方有效载荷，而非合法的安装程序。

JDownloader 是一款广泛使用的免费下载管理应用程序，支持从文件托管服务、视频网站和高级链接生成器自动下载。该软件已推出十多年，全球有数百万人在 Windows、Linux 和 macOS 系统上使用。

JDownloader 供应链攻击事件

此次入侵事件最初由一位名为 “PrinceOfNightSky” 的 Reddit 用户报告，该用户注意到下载的安装程序被微软 Defender 标记为恶意软件。

“我一直在使用 JDownloader，几周前换了一台新电脑。幸运的是，我 U 盘中有安装程序，但还是决定下载最新版本。” PrinceOfNightSky 在 Reddit 上写道。

“网站是官方的，但 Windows 系统将所有 Windows 版的可执行文件都报告为恶意软件，且开发者被列为‘Zipline LLC’。有时又显示为‘The Water Team’。这款软件显然是 Appwork 开发的，我必须手动解除 Windows 的阻止才能运行它，但我不会这么做。”

JDownloader 的开发者随后证实网站已遭入侵，并将网站下线以调查此事。

在一份事件报告中，开发者表示，攻击者利用一个未修补的漏洞入侵了他们的网站，该漏洞使攻击者能够在无需身份验证的情况下更改网站访问控制列表和内容。

事件报告称：“更改是通过网站的内容管理系统进行的，影响了已发布的页面和链接。”

“攻击者没有获取底层服务器堆栈的访问权限，特别是无法访问主机文件系统或超出内容管理系统管理的网页内容之外的更广泛操作系统级别的控制权。”

开发者表示，此次入侵仅影响 Windows 备用安装程序下载链接和 Linux shell 安装程序链接。应用内更新、macOS 下载、Flatpak、Winget、Snap 包以及主 JDownloader JAR 包均未被修改。

开发者还表示，用户可以通过右键单击文件，选择 “属性”，然后点击 “数字签名” 选项卡来确认安装程序是否合法。

如果 “数字签名” 显示由 “AppWork GmbH” 签名，则为合法安装程序。然而，如果文件未签名或签名者名称不同，则应避免使用。

JDownloader 团队表示，分析恶意有效载荷 “超出了我们的工作范围”，但分享了恶意安装程序的存档，以便其他人进行分析。

网络安全研究员托马斯・克莱门茨（Thomas Klemenc）分析了恶意的 Windows 可执行文件，并分享了该恶意软件的入侵指标（IOCs）。

据克莱门茨称，该恶意软件充当一个加载器，会部署一个经过高度混淆的基于 Python 的远程访问木马。

克莱门茨表示，Python 有效载荷充当一个模块化的僵尸网络程序和远程访问木马框架，允许攻击者执行从命令与控制（C2）服务器发送的 Python 代码。

该研究员还分享了该恶意软件使用的两个命令与控制服务器地址：

• https://parkspringshotel[.]com/m/Lu6aeloo.php

• https://auraguest[.]lk/m/douV2quu.php

JDownloader 表示，只有在网站遭入侵期间下载并执行了受影响安装程序的用户才会面临风险。

由于恶意软件可能在受感染设备上执行任意代码，建议安装了恶意安装程序的用户重新安装操作系统。

设备上的凭证也有可能遭到泄露，因此强烈建议在清理设备后重置密码。

今年以来，黑客越来越多地将目标对准流行软件工具的网站，向毫无防备的用户分发恶意软件。

4 月，黑客入侵了 CPUID 网站，更改了热门工具 CPU - Z 和 HWMonitor 的下载链接，提供恶意可执行文件。

本月早些时候，威胁行为者入侵了 DAEMONTOOLS 网站，分发含有后门的木马化安装程序。