## JDownloader-Website kompromittiert Angreifer modifizierten Download-Links auf der offiziellen **JDownloader**-Website, um bösartige Third-Party-Payloads anstelle legitimer Installer auszuliefern. Dieser Supply-Chain-Angriff betraf Nutzer, die den alternativen Windows-Installer und den Linux-Shell-Installer herunterluden. **JDownloader** ist eine weit verbreitete, kostenlose Download-Management-Anwendung, die automatisierte Downloads von verschiedenen File-Hosting-Diensten und Videoseiten unterstützt. ## Entdeckung und Bestätigung Die Kompromittierung wurde erstmals auf Reddit von einem Nutzer gemeldet, der bemerkte, dass **Microsoft Defender** heruntergeladene Installer als bösartig kennzeichnete. Die **JDownloader**-Entwickler bestätigten später den Einbruch und nahmen die Website zur Untersuchung offline. Laut einem Vorfallbericht nutzten Angreifer eine ungepatchte Schwachstelle im Content-Management-System (CMS) der Website aus. Dies ermöglichte ihnen, Zugriffskontrolllisten und Inhalte der Website ohne Authentifizierung zu ändern. "Änderungen wurden über das Content-Management-System der Website vorgenommen und betrafen veröffentlichte Seiten und Links", heißt es in dem Bericht. Die Entwickler stellten klar, dass nur der alternative Windows-Installer und der Linux-Shell-Installer betroffen waren. In-App-Updates, macOS-Downloads, Flatpak-, Winget-, Snap-Pakete und das Haupt-**JDownloader**-JAR-Paket blieben unberührt. ## Überprüfung der Installer-Authentizität Nutzer können die Authentizität eines Installers überprüfen, indem sie dessen digitale Signatur prüfen. Klicken Sie mit der rechten Maustaste auf die Datei, wählen Sie **Eigenschaften** und navigieren Sie zur Registerkarte **Digitale Signaturen**. Ein legitimer Installer wird von "AppWork GmbH" signiert. Nicht signierte Dateien oder solche, die von einer anderen Entität signiert wurden, sollten vermieden werden.  ## Malware-Analyse Obwohl das **JDownloader**-Team die bösartigen Installer zur Analyse teilte, erklärten sie, dass eine tiefgehende Malware-Analyse außerhalb ihres Rahmens liege. Der Cybersicherheitsforscher Klemenc analysierte die bösartigen Windows-Executables und entdeckte einen stark verschleierten, Python-basierten RAT. Die Python-Payload fungiert als modulares Bot- und RAT-Framework, das es Angreifern ermöglicht, Python-Code auszuführen, der von Command-and-Control (C2)-Servern geliefert wird. Klemenc identifizierte die folgenden C2-Server: https://parkspringshotel[.]com/m/Lu6aeloo.php https://auraguest[.]lk/m/douV2quu.php Die Analyse des modifizierten Linux-Shell-Installers ergab bösartigen Code, der in das Skript injiziert wurde und ein Archiv herunterlud, das als SVG-Datei von 'checkinnhotels[.]com' getarnt war.  Das Skript extrahiert zwei ELF-Binaries, 'pkg' und 'systemd-exec', und installiert 'systemd-exec' als SUID-Root-Binary in '/usr/bin/'. Die Haupt-Payload wird nach '/root/.local/share/.pkg' kopiert, ein Persistenzskript wird in '/etc/profile.d/systemd.sh' erstellt und die Malware wird unter dem Deckmantel von '/usr/libexec/upowerd' gestartet. Die 'pkg'-Payload ist stark mit Pyarmor verschleiert, was ihre Funktionalität verschleiert. ## Behebung **JDownloader** rät Nutzern, die die betroffenen Installer heruntergeladen und ausgeführt haben, ihre Betriebssysteme neu zu installieren, da die Möglichkeit zur Ausführung von beliebigem Code besteht. Es wird auch empfohlen, Passwörter zurückzusetzen, da Anmeldedaten kompromittiert worden sein könnten. ## Zunehmende Supply-Chain-Angriffe Website-Kompromittierungen, die auf beliebte Software-Tools abzielen, nehmen zu. Jüngste Vorfälle umfassen: * **CPUID**: Hacker kompromittierten die **CPUID**-Website, um bösartige Executables für **CPU-Z** und **HWMonitor** zu verteilen. * **DAEMONTOOLS**: Bedrohungsakteure kompromittierten die **DAEMONTOOLS**-Website, um trojanisierte Installer zu verteilen, die eine backdoor enthielten.