Il sito di JDownloader è stato hackerato tra il 6 e il 7 maggio 2026 e gli attaccanti hanno sostituito gli installer alternativi Windows e lo shell installer Linux con un malware Python RAT. Gli utenti che hanno scaricato ed eseguito quei file specifici durante la finestra di compromissione rischiano il controllo completo del dispositivo da parte degli attaccanti. Il team di sviluppo conferma ufficialmente l’incidente, spegne temporaneamente il sito per verifiche approfondite e ripristina il servizio nella notte tra l’8 e il 9 maggio con link corretti e sistemi aggiornati. Solo i download “Alternative Installer” per Windows e lo script shell Linux risultano compromessi. Gli aggiornamenti in-app, il file JAR principale, i pacchetti macOS, Flatpak, Winget e Snap rimangono invece sicuri. Il malware consiste in un Remote Access Trojan Python obfuscato con PyArmor che comunica con server di comando e controllo esterni e permette esecuzione remota di codice arbitrario. Su Linux il codice malevolo installa binari SUID-root e crea persistenza a livello sistema. Gli sviluppatori invitano tutti gli utenti a verificare sempre la firma digitale “AppWork GmbH” prima di eseguire qualsiasi installer scaricato dal sito ufficiale.
Cosa leggere
Gli attaccanti sfruttano una vulnerabilità nel CMS del sito
L’attacco contro JDownloader sfrutta una vulnerabilità non patchata presente nel sistema di gestione contenuti del sito web. Gli aggressori non ottengono accesso diretto al server principale o al filesystem interno, ma riescono comunque a modificare i link di download associati agli installer alternativi. La prima attività sospetta risale alla sera del 5 maggio 2026, quando gli attaccanti effettuano test su una pagina a basso traffico per verificare la possibilità di alterare i collegamenti. Il 6 maggio alle 00:01 UTC entrano ufficialmente in funzione i link malevoli che puntano a payload ospitati su server esterni controllati dagli aggressori. Nessun altro componente dell’infrastruttura risulta compromesso. Gli aggiornamenti automatici del programma continuano a funzionare normalmente grazie alla protezione con firme RSA end-to-end. Anche i pacchetti distribuiti tramite Flatpak, Winget, Snap e macOS rimangono intatti perché utilizzano pipeline separate rispetto agli installer alternativi coinvolti nell’incidente.
Reddit segnala i primi alert di Microsoft Defender
La prima segnalazione pubblica dell’attacco arriva il 6 maggio su Reddit, dove alcuni utenti notano avvisi di Microsoft Defender e firme digitali sospette associate agli installer scaricati dal sito ufficiale. Le firme mostravano editori anomali come “Zipline LLC” o “The Water Team” invece della firma autentica “AppWork GmbH”. Questi alert spingono rapidamente la community a sospettare un compromesso del sito. Il team di JDownloader interviene immediatamente, conferma il problema e spegne il portale alle 17:24 UTC del 7 maggio per limitare ulteriori download malevoli. Durante l’indagine, gli sviluppatori raccolgono i payload compromessi, li analizzano internamente e li condividono con ricercatori e membri della community per ulteriori verifiche. Il sito torna online tra l’8 e il 9 maggio con notifiche evidenti pubblicate su homepage, forum ufficiale e wiki del progetto.
Il Python RAT negli installer Windows usa PyArmor
Gli installer Windows compromessi contengono un loader che avvia un payload Python fortemente obfuscato tramite PyArmor. Il malware funziona come framework modulare e comunica con due server di comando e controllo esterni: parkspringshotel.com/m/Lu6aeloo.php e auraguest.lk/m/douV2quu.php. Una volta eseguito, il RAT può rubare cookie di sessione, credenziali salvate, dati di autenticazione e informazioni di navigazione. Il malware è inoltre in grado di disabilitare firewall e antivirus, oltre a eseguire codice Python arbitrario ricevuto dal server C2. Gli installer risultano firmati con certificati fraudolenti e attivano immediatamente avvisi di Microsoft Defender e SmartScreen. Gli utenti che ignorano questi alert e proseguono con l’installazione espongono il sistema a esecuzione remota di codice e controllo persistente da parte degli attaccanti.
Lo shell installer Linux installa payload con privilegi root
Lo shell installer Linux compromesso scarica un archivio mascherato da file SVG da checkinnhotels.com. Lo script estrae due binari ELF chiamati “pkg” e “systemd-exec”. Successivamente installa “systemd-exec” come binario SUID-root all’interno di /usr/bin/ e copia il payload principale nella directory /root/.local/share/.pkg. Il malware crea anche uno script di persistenza in /etc/profile.d/systemd.sh e avvia il payload mascherandolo come /usr/libexec/upowerd. Anche in questo caso il componente Python risulta obfuscato con PyArmor. Gli utenti Linux che eseguono lo script durante la finestra di compromissione rischiano quindi una compromissione completa a livello root con persistenza elevata e possibilità di esecuzione remota di codice.
Il malware non colpisce aggiornamenti automatici e pacchetti ufficiali
Il team di JDownloader chiarisce che soltanto due componenti specifici risultano compromessi: gli installer alternativi Windows e lo shell installer Linux distribuiti tra il 6 e il 7 maggio. Gli aggiornamenti in-app, il file JAR principale, i pacchetti macOS, Flatpak, Winget e Snap restano completamente sicuri perché gestiti attraverso infrastrutture indipendenti e protetti da firme crittografiche. Questo dettaglio limita significativamente l’impatto complessivo dell’incidente. Gli utenti che possedevano già una copia funzionante di JDownloader o che hanno aggiornato il software direttamente dall’applicazione non risultano esposti al malware. Il RAT non si propaga automaticamente ad altri sistemi e non sfrutta vulnerabilità locali per diffondersi lateralmente.
Cosa fare se si è eseguito l’installer compromesso
Il team di JDownloader fornisce istruzioni precise per gli utenti potenzialmente coinvolti. Chi ha scaricato il file ma non lo ha eseguito deve cancellarlo immediatamente e ottenere una nuova copia dal sito ufficiale aggiornato. Gli utenti che invece hanno eseguito l’installer Windows o Linux devono considerare il sistema completamente compromesso. La raccomandazione ufficiale consiste in una reinstallazione pulita del sistema operativo, preferibilmente tramite recovery del produttore o wipe completo del disco. Dopo il ripristino è necessario eseguire una scansione completa con antivirus aggiornati e cambiare tutte le password importanti da un dispositivo differente e sicuro. Gli sviluppatori consigliano inoltre di non accedere ad account sensibili fino alla completa bonifica del sistema. Eventuali file personali devono essere recuperati esclusivamente da backup affidabili e verificati.
Come verificare la firma digitale AppWork GmbH
Per gli utenti Windows, il metodo più semplice per verificare la legittimità dell’installer consiste nel controllare la firma digitale del file. Basta cliccare con il tasto destro sull’eseguibile, selezionare Proprietà e aprire la scheda “Firme digitali”. La firma autentica deve riportare esclusivamente “AppWork GmbH”. Se la firma manca oppure compare un editore differente, il file deve essere considerato malevolo. Microsoft Defender e SmartScreen bloccano automaticamente molti di questi installer compromessi, motivo per cui gli sviluppatori invitano a non disattivare mai le protezioni di sicurezza in tempo reale e a non ignorare gli avvisi mostrati dal sistema operativo.
La timeline completa dell’incidente JDownloader
L’attacco inizia il 5 maggio 2026 intorno alle 23:55 UTC con un test su una pagina secondaria del sito. Il 6 maggio alle 00:01 UTC entrano ufficialmente in funzione i link malevoli associati agli installer compromessi. La finestra di rischio principale copre l’intero 6 maggio e parte del 7 maggio. Alle 17:06 UTC del 7 maggio arriva la prima segnalazione pubblica su Reddit. Diciotto minuti dopo, alle 17:24 UTC, il team di JDownloader spegne completamente il server per limitare ulteriori infezioni. Tra il 7 e l’8 maggio gli sviluppatori rimuovono i link malevoli, ripristinano i backup e rafforzano la configurazione di sicurezza del CMS. Nella notte tra l’8 e il 9 maggio il sito torna online in piena sicurezza. Il report ufficiale dettagliato viene pubblicato l’8 maggio 2026.
Gli sviluppatori rafforzano sicurezza e infrastruttura
Dopo l’incidente, il team di JDownloader applica patch alla vulnerabilità del CMS e introduce ulteriori misure di hardening sull’infrastruttura web. Gli sviluppatori ripristinano il sito dai backup verificati e pubblicano un report trasparente con timeline completa, dettagli tecnici e istruzioni pratiche per gli utenti. Il portale mostra ora notifiche ben visibili in homepage, forum e wiki per avvisare tutti coloro che potrebbero aver scaricato i file durante la finestra di compromissione. I payload malevoli vengono condivisi con la community di sicurezza per analisi indipendenti. Il team ringrazia pubblicamente gli utenti Reddit che hanno segnalato il problema in tempi rapidi, permettendo di limitare la diffusione del malware.
L’incidente dimostra i rischi della supply chain software
L’attacco a JDownloader rappresenta un esempio concreto di compromissione della supply chain software attraverso la manipolazione dei link di distribuzione. Gli aggressori non hanno bisogno di violare direttamente i binari originali o il server applicativo per distribuire malware a migliaia di utenti. È sufficiente alterare i collegamenti di download associati a componenti meno controllati. Il caso dimostra anche quanto siano importanti le firme digitali, gli avvisi degli antivirus e la verifica dell’origine dei file scaricati. Gli utenti dovrebbero preferire sempre aggiornamenti in-app protetti da firme crittografiche e utilizzare store ufficiali o repository verificati quando disponibili. Mantenere aggiornato il sistema operativo e non ignorare gli alert di sicurezza rimane una delle difese più efficaci contro attacchi simili.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
