## Sitio web de JDownloader comprometido Los atacantes modificaron los enlaces de descarga en el sitio web oficial de **JDownloader** para servir cargas útiles maliciosas de terceros en lugar de los instaladores legítimos. Este ataque a la cadena de suministro afectó a los usuarios que descargaron el instalador alternativo de Windows y el instalador de shell de Linux. **JDownloader** es una aplicación de gestión de descargas gratuita y ampliamente utilizada que admite descargas automatizadas desde varios servicios de alojamiento de archivos y sitios de video. ## Descubrimiento y Confirmación El compromiso fue reportado inicialmente en Reddit por un usuario que notó que **Microsoft Defender** marcaba los instaladores descargados como maliciosos. Los desarrolladores de **JDownloader** confirmaron posteriormente la brecha y sacaron el sitio web de línea para su investigación. Según un informe de incidente, los atacantes explotaron una vulnerabilidad sin parches en el sistema de gestión de contenido (CMS) del sitio web. Esto les permitió alterar las listas de control de acceso y el contenido del sitio web sin autenticación. "Se realizaron cambios a través del sistema de gestión de contenido del sitio web, afectando las páginas y enlaces publicados", declaró el informe. Los desarrolladores aclararon que solo el instalador alternativo de Windows y el instalador de shell de Linux se vieron afectados. Las actualizaciones dentro de la aplicación, las descargas de macOS, los paquetes Flatpak, Winget, Snap y el paquete principal **JDownloader** JAR permanecieron intactos. ## Verificación de la autenticidad del instalador Los usuarios pueden verificar la autenticidad de un instalador revisando su firma digital. Haga clic derecho en el archivo, seleccione **Propiedades** y navegue a la pestaña **Firmas digitales**. Un instalador legítimo estará firmado por "AppWork GmbH". Se deben evitar los archivos sin firmar o aquellos firmados por una entidad diferente.  ## Análisis de Malware Si bien el equipo de **JDownloader** compartió los instaladores maliciosos para su análisis, declararon que un análisis profundo de malware estaba fuera de su alcance. El investigador de ciberseguridad Klemenc analizó los ejecutables maliciosos de Windows, descubriendo un RAT basado en Python fuertemente ofuscado. La carga útil de Python funciona como un bot modular y un framework RAT, lo que permite a los atacantes ejecutar código Python entregado desde servidores de comando y control (C2). Klemenc identificó los siguientes servidores C2: https://parkspringshotel[.]com/m/Lu6aeloo.php https://auraguest[.]lk/m/douV2quu.php El análisis del instalador de shell de Linux modificado reveló código malicioso inyectado en el script, que descargaba un archivo comprimido disfrazado de archivo SVG de 'checkinnhotels[.]com'.  El script extrae dos binarios ELF, 'pkg' y 'systemd-exec', e instala 'systemd-exec' como un binario SUID-root en '/usr/bin/'. La carga útil principal se copia a '/root/.local/share/.pkg', se crea un script de persistencia en '/etc/profile.d/systemd.sh', y el malware se lanza enmascarándose como '/usr/libexec/upowerd'. La carga útil 'pkg' está fuertemente ofuscada usando Pyarmor, ocultando su funcionalidad. ## Remediación **JDownloader** aconseja a los usuarios que descargaron y ejecutaron los instaladores afectados que reinstalen sus sistemas operativos debido al potencial de ejecución de código arbitrario. También se recomienda restablecer las contraseñas, ya que las credenciales pueden haber sido comprometidas. ## Crecientes ataques a la cadena de suministro Los compromisos de sitios web dirigidos a herramientas de software populares están en aumento. Incidentes recientes incluyen: * **CPUID**: Hackers comprometieron el sitio web de **CPUID** para distribuir ejecutables maliciosos para **CPU-Z** y **HWMonitor**. * **DAEMONTOOLS**: Actores de amenazas comprometieron el sitio web de **DAEMONTOOLS** para distribuir instaladores troyanizados que contenían una backdoor.