Platforma oficială a popularului manager de descărcări JDownloader a fost compromisă de atacatori cibernetici, care au reușit să distribuie fișiere malware utilizatorilor de Windows și Linux, înlocuind instalatoarele legitime cu versiuni malițioase.
Echipa JDownloader a confirmat incidentul și a oprit imediat site-ul pentru investigații, după ce un utilizator de pe Reddit a semnalat că noile fișiere descărcate erau detectate de Windows SmartScreen ca suspecte și erau semnate de un editor neobișnuit, „Zipline LLC”, în loc de semnătura oficială „AppWork”. Postarea a atras rapid atenția comunității și a determinat intervenția dezvoltatorilor.
Potrivit echipei, investigația inițială a confirmat o breșă de securitate limitată, dar gravă. Atacatorii au modificat pagina de descărcări alternative pe 6 mai, înlocuind toate instalatoarele pentru Windows cu fișiere executabile nesemnate și malițioase. De asemenea, instalatorul pentru Linux a fost înlocuit cu o versiune care conținea cod shell dăunător.
CITEȘTE ȘI – Apple acceptă un acord de 250 de milioane de dolari într-un proces privind promovarea înșelătoare a funcțiilor AI
Reprezentanții JDownloader au precizat însă că fișierele principale nu au fost afectate: JDownloader.jar, instalatoarele pentru macOS și pachetele distribuite prin Winget, Flatpak și Snap au rămas intacte. Acestea folosesc infrastructuri separate, protejate prin sume de verificare și semnături digitale end-to-end pentru actualizări.
Atacul a fost posibil din cauza unei vulnerabilități de securitate necorectate pe site, care a permis modificarea listelor de control al accesului fără autentificare. Odată obținute drepturi de editare, atacatorii au înlocuit pur și simplu linkurile oficiale cu versiunile infectate.
Unele rapoarte ale utilizatorilor care au rulat fișierele compromise indică efecte severe, inclusiv dezactivarea Windows Defender în anumite cazuri.
Incidentul vine pe fondul unui val de atacuri de tip supply chain, în care site-uri și aplicații de încredere sunt compromise pentru a distribui malware. Luna trecută, un incident similar a vizat site-ul CPUID, dezvoltatorul unor utilitare populare precum CPU-Z și HWMonitor, unde atacatorii au livrat fișiere false care au declanșat alerte de securitate. Ulterior, compania a închis temporar site-ul și a remediat vulnerabilitatea înainte de reluarea distribuției fișierelor legitime.
Urmărește România Liberă pe Google News, Linkedin, Twitter, Facebook și Youtube.
