Сайт известного менеджера загрузок JDownloader подвергся хакерской атаке. Злоумышленники более 1 дня распространяли вредоносные установщики среди пользователей Windows и Linux. Разработчики подтвердили факт взлома и временно отключили ресурс для проведения расследования.
Проблема привлекла внимание после сообщения 1 пользователя на сайте Reddit. Он заметил, что фильтр Windows SmartScreen блокирует свежие загрузки, а в качестве издателя указана неизвестная компания Zipline LLC вместо официальной AppWork. Представитель команды разработчиков оперативно отреагировал на публикацию и подтвердил наличие уязвимости.
В ходе проверки выяснилось, что 6 мая хакеры изменили альтернативную страницу загрузки. Они заменили ссылки на установщики для Windows собственными вредоносными исполняемыми файлами без цифровой подписи. Изменениям также подвергся скрипт установки для Linux. При этом основные файлы JDownloader.jar, версии для macOS и пакеты из репозиториев Winget, Flatpak и Snap остались в безопасности. Эти компоненты используют отдельную инфраструктуру с проверкой контрольных сумм и защищены сквозными цифровыми подписями.
Злоумышленники получили доступ к сайту благодаря неисправленной ошибке безопасности. Уязвимость позволила им изменить списки контроля доступа без прохождения аутентификации. Наделенные правами редактирования, хакеры просто заменили официальные ссылки. По сообщениям пострадавших пользователей, запуск зараженных файлов приводил к полному отключению встроенного защитника Windows Defender.
JDownloader стал новой жертвой атаки на цепочку поставок, когда популярность доверенной утилиты используется для доставки вредоносного программного обеспечения. Примерно 1 месяц назад аналогичному взлому подвергся официальный сайт компании CPUID, известной по диагностическим инструментам CPU-Z и HWMonitor. Тогда хакеры распространяли файл под названием HWiNFO_Monitor_Setup.exe, на который реагировал защитник Windows, а вместе с чистой версией CPU-Z поставлялась вредоносная библиотека CRYPTBASE.dll. После предупреждения от сообщества разработчики быстро закрыли сайт, исправили уязвимость в программном интерфейсе и восстановили безопасные ссылки.
Источник: www.playground.ru