サイバー犯罪者は公式JDownloaderウェブサイトへの侵害に成功し、信頼されている広く使用されているユーティリティを武装化された脅威に変えました。
2026年5月6日から5月7日の間に、ダウンロードを効率化しようとしていた無警戒なユーザーが改ざんされたインストールファイルに遭遇しました。
隠れた脆弱性を悪用することで、攻撃者は正規のLinuxおよびWindowsインストーラーを悪意のあるペイロードに静かに置き換え、密かなリモートアクセストロイの木馬(RAT)を被害者のマシンに直接展開しました。
JDownloaderはファイルホスティングサービス、プレミアムリンクジェネレータ、ビデオストリーミングサイトからの自動ダウンロードを簡素化することで、膨大なユーザーベースを構築しました。
この広範な信頼は、プラットフォームを脅威行為者にとって信じられないほど有利なターゲットにしました。ダウンロードマネージャーは正常に機能するために、本来的にブロードなネットワーク権限とローカルストレージへのアクセスが必要です。
そのようなアプリケーション内にペイロードを隠すことで、サイバー犯罪者は初期セキュリティ警告を簡単に回避し、ソフトウェアが当然ながら多くの外部ウェブリクエストを発行するというユーザーの期待を悪用できます。
開発者はRedditのようなプラットフォームで警戒心の強いユーザーからのコミュニティレポートを受けて、セキュリティ侵害を公式に確認しました。
調査によると、攻撃者はウェブサイトのコンテンツ管理システム(CMS)内の未パッチのセキュリティバグを悪用しました。
この重大な欠陥により、脅威行為者は認証なしでアクセス制御リストを変更することができました。システムの防御をバイパスすると、攻撃者はメインドメイン上の特定のダウンロードパスを簡単に操作できました。
具体的には、侵害はWindows「代替インストーラーのダウンロード」リンクとプライマリLinuxシェルインストーラーに影響を与えました。
幸いなことに、攻撃者はすべての配布方法に感染させることができませんでした。macOSバージョン、JARファイル、Flatpak、Winget、およびSnapパッケージをダウンロードしたユーザーは完全に安全でした。
5月6日から5月7日の侵害期間中にJDownloaderウェブサイトにアクセスし、新しいインストーラーをダウンロードした場合は、コンピュータを保護するために即座に行動を起こす必要があります。
最も重要な検証ステップは、ダウンロードされた実行可能ファイルのデジタル署名を確認することです。正規のJDownloaderインストーラーは常に「AppWork GmbH」からの有効なデジタル証明書で署名されています。
ハッカーが配布した武装化されたインストーラーは、この公式の暗号署名を完全に欠いていました。
ダウンロードしたファイルを右クリックしてプロパティを開き、インストールを実行する前にデジタル署名タブを確認することで、これを簡単に確認できます。
署名がない場合、または不明なエンティティに属する場合は、ファイルをすぐに削除し、ごみ箱を空にしてください。
署名の確認に加えて、ユーザーは信頼できるマルウェア対策ソリューションを使用して包括的なシステムスキャンを実行する必要があります。
セキュリティベンダーはこの脅威を積極的に監視しており、Malwarebytesのようなプラットフォームは既にPythonベースの RAT によって使用される特定のドメインをブロックするために防御を更新しています。
トロイの木馬がコマンドアンドコントロールサーバーへの接続を確立しようとした場合、最新のエンドポイント保護が通信を傍受して遮断し、データを安全に保ちます。
翻訳元: https://cyberpress.org/jdownloader-installers-deliver-malware/