## Le site web de JDownloader compromis Des attaquants ont modifié les liens de téléchargement sur le site officiel de **JDownloader** pour distribuer des charges utiles tierces malveillantes au lieu des installateurs légitimes. Cette attaque de la chaîne d'approvisionnement a affecté les utilisateurs qui ont téléchargé l'installateur alternatif pour Windows et l'installateur shell pour Linux. **JDownloader** est une application de gestion de téléchargement gratuite et largement utilisée, prenant en charge les téléchargements automatisés depuis divers services d'hébergement de fichiers et sites vidéo. ## Découverte et confirmation La compromission a été initialement signalée sur Reddit par un utilisateur qui avait remarqué que **Microsoft Defender** signalait les installateurs téléchargés comme malveillants. Les développeurs de **JDownloader** ont ensuite confirmé la violation et ont mis le site web hors ligne pour enquête. Selon un rapport d'incident, les attaquants ont exploité une vulnérabilité non corrigée dans le système de gestion de contenu (CMS) du site web. Cela leur a permis de modifier les listes de contrôle d'accès et le contenu du site sans authentification. « Des modifications ont été apportées via le système de gestion de contenu du site web, affectant les pages et les liens publiés », indique le rapport. Les développeurs ont précisé que seuls l'installateur alternatif pour Windows et l'installateur shell pour Linux ont été affectés. Les mises à jour intégrées à l'application, les téléchargements macOS, les paquets Flatpak, Winget, Snap et le paquet principal **JDownloader** JAR sont restés intacts. ## Vérification de l'authenticité des installateurs Les utilisateurs peuvent vérifier l'authenticité d'un installateur en vérifiant sa signature numérique. Faites un clic droit sur le fichier, sélectionnez **Propriétés** et accédez à l'onglet **Signatures numériques**. Un installateur légitime sera signé par "AppWork GmbH". Les fichiers non signés ou ceux signés par une entité différente doivent être évités.  ## Analyse des malwares Bien que l'équipe **JDownloader** ait partagé les installateurs malveillants pour analyse, elle a déclaré que l'analyse approfondie des malwares dépassait son champ d'action. Le chercheur en cybersécurité Klemenc a analysé les exécutables malveillants pour Windows, découvrant un RAT basé sur Python fortement obfusqué. La charge utile Python fonctionne comme un bot modulaire et un framework RAT, permettant aux attaquants d'exécuter du code Python livré depuis des serveurs de commande et de contrôle (C2). Klemenc a identifié les serveurs C2 suivants : https://parkspringshotel[.]com/m/Lu6aeloo.php https://auraguest[.]lk/m/douV2quu.php L'analyse de l'installateur shell Linux modifié a révélé un code malveillant injecté dans le script, téléchargeant une archive déguisée en fichier SVG depuis 'checkinnhotels[.]com'.  Le script extrait deux binaires ELF, 'pkg' et 'systemd-exec', et installe 'systemd-exec' comme binaire SUID-root dans '/usr/bin/'. La charge utile principale est copiée dans '/root/.local/share/.pkg', un script de persistance est créé dans '/etc/profile.d/systemd.sh', et le malware est lancé en se faisant passer pour '/usr/libexec/upowerd'. La charge utile 'pkg' est fortement obfusquée à l'aide de Pyarmor, masquant sa fonctionnalité. ## Remédiation **JDownloader** conseille aux utilisateurs qui ont téléchargé et exécuté les installateurs affectés de réinstaller leur système d'exploitation en raison du potentiel d'exécution de code arbitraire. Il est également recommandé de réinitialiser les mots de passe, car les identifiants ont pu être compromis. ## Augmentation des attaques de la chaîne d'approvisionnement Les compromissions de sites web ciblant des outils logiciels populaires sont en augmentation. Parmi les incidents récents, on peut citer : * **CPUID** : Des pirates ont compromis le site web de **CPUID** pour distribuer des exécutables malveillants pour **CPU-Z** et **HWMonitor**. * **DAEMONTOOLS** : Des acteurs de la menace ont compromis le site web de **DAEMONTOOLS** pour distribuer des installateurs trojanisés contenant une backdoor.