- 攻撃者はCMSの脆弱性を悪用して、2026年5月6〜7日の間にWindowsおよびLinuxのインストーラーリンクをマルウェア入りバージョンに置き換えました
- 毒入りインストーラーはローダー経由でPythonベースのRAT(リモートアクセストロイの木馬)をデプロイしましたが、その他の配布チャネル(macOS、JAR、Snapなど)は無傷でした
- AppWorkはデジタル署名(「AppWork GmbH」)を検証してシステム改ざんを回避するようアドバイスしており、サイトはその後保護されました
人気のダウンロードマネージャーJDownloaderが最近ハッキングされ、そのウェブサイトは乗っ取られてWindowsおよびLinuxユーザーへのマルウェア配信に使われました。
所有者のAppWorkが説明したところによると、正体不明の攻撃者がウェブサイトのコンテンツ管理システム(CMS)に脆弱性を発見し、それを利用してダウンロードリンクを複数のバリエーションに入れ替えました:
「ウェブサイトのコンテンツ管理システムを通じて変更が加えられ、公開されたページとリンクに影響を与えました」とAppWorkはインシデントレポートで述べています。「攻撃者は基盤となるサーバースタックへのアクセスを獲得しておりません — 特にホストファイルシステムへのアクセスまたはCMS管理対象のウェブコンテンツを超えたオペレーティングシステムレベルのコントロールはありません。」
デジタル署名の確認
2026年5月6日から5月7日の間に別のWindowsインストーラーダウンロードリンク、またはLinuxシェルインストーラーリンクをクリックした人は、ソフトウェアの悪意あるバージョンをホストしているサードパーティサーバーにリダイレクトされました。このバージョンには、大きく難読化されたPythonで構築されたリモートアクセストロイの木馬(RAT)をデプロイするローダーが含められていました。
アプリ内更新、macOSダウンロード、Flatpak、Winget、Snapパッケージ、およびメインのJDownloader JARパッケージを含むその他のダウンロードは改ざんされていなかったことをAppWorkが確認しました。
また、正しいインストーラーを使用していることを確実にする最良の方法は、そのデジタル署名を再確認することだと述べています。これは実行ファイルを右クリックして、プロパティに移動し、デジタル署名タブを確認することで行えます。プログラムは「AppWork GmbH」によって署名されたことを表示する必要があり、そうでなければ確実にマルウェアです。
Redditでは、毒入りバージョンをダウンロードしたユーザーが、開発者が「Zipline LLC」および「The Water Team」としてリストされているのを見ました。幸いなことに、Windows Defenderがプログラムを悪意のあるものとしてフラグを立て、ユーザーを保護しました。
ウェブサイトは一時的にシャットダウンされ、企業は脆弱性を修復してリンクをクリーンアップすることができました。
