## JDownloaderウェブサイトが侵害される 攻撃者は、公式の**JDownloader**ウェブサイト上のダウンロードリンクを改ざんし、正規のインストーラーの代わりに悪意のあるサードパーティ製ペイロードを提供するようにしました。このサプライチェーン攻撃は、代替のWindowsインストーラーとLinuxシェルインストーラーをダウンロードしたユーザーに影響を与えました。 **JDownloader**は、さまざまなファイルホスティングサービスや動画サイトからの自動ダウンロードをサポートする、広く利用されている無料のダウンロード管理アプリケーションです。 ## 発見と確認 この侵害は、ダウンロードしたインストーラーを**Microsoft Defender**が悪意のあるものとしてフラグを立てていることに気づいたユーザーによって、最初にRedditで報告されました。その後、**JDownloader**の開発者は侵害を確認し、調査のためにウェブサイトをオフラインにしました。 インシデントレポートによると、攻撃者はウェブサイトのコンテンツ管理システム（CMS）のパッチが適用されていない脆弱性を悪用しました。これにより、認証なしでウェブサイトのアクセス制御リストやコンテンツを変更することが可能になりました。 「変更はウェブサイトのコンテンツ管理システムを通じて行われ、公開されているページやリンクに影響がありました」とレポートは述べています。 開発者は、影響を受けたのは代替のWindowsインストーラーとLinuxシェルインストーラーのみであると明確にしました。アプリ内アップデート、macOSダウンロード、Flatpak、Winget、Snapパッケージ、およびメインの**JDownloader** JARパッケージは影響を受けていません。 ## インストーラーの真正性の検証 ユーザーは、デジタル署名を確認することでインストーラーの真正性を検証できます。ファイルを右クリックし、「**プロパティ**」を選択し、「**デジタル署名**」タブに移動します。正規のインストーラーは「AppWork GmbH」によって署名されています。署名されていないファイルや、異なるエンティティによって署名されたファイルは避けるべきです。  ## マルウェア分析 **JDownloader**チームは分析のために悪意のあるインストーラーを共有しましたが、詳細なマルウェア分析は範囲外であると述べています。サイバーセキュリティ研究者のKlemenc氏は、悪意のあるWindows実行可能ファイルを分析し、高度に難読化されたPythonベースのRATを発見しました。 このPythonペイロードは、モジュール式のボットおよびRATフレームワークとして機能し、攻撃者がコマンドアンドコントロール（C2）サーバーから配信されたPythonコードを実行できるようにします。Klemenc氏は以下のC2サーバーを特定しました。 https://parkspringshotel[.]com/m/Lu6aeloo.php https://auraguest[.]lk/m/douV2quu.php 改ざんされたLinuxシェルインストーラーの分析により、スクリプトに悪意のあるコードが注入され、'checkinnhotels[.]com'からSVGファイルとして偽装されたアーカイブをダウンロードすることが明らかになりました。  このスクリプトは、2つのELFバイナリ「pkg」と「systemd-exec」を展開し、「systemd-exec」を'/usr/bin/'にSUID-rootバイナリとしてインストールします。メインのペイロードは'/root/.local/share/.pkg'にコピーされ、永続化スクリプトが'/etc/profile.d/systemd.sh'に作成され、マルウェアは'/usr/libexec/upowerd'として偽装して起動されます。「pkg」ペイロードはPyarmorによって高度に難読化されており、その機能が不明瞭になっています。 ## 対策 **JDownloader**は、影響を受けたインストーラーをダウンロードして実行したユーザーに対し、任意のコード実行の可能性を考慮してオペレーティングシステムの再インストールを推奨しています。また、認証情報が侵害された可能性があるため、パスワードのリセットも推奨されます。 ## サプライチェーン攻撃の増加 人気のソフトウェアツールを標的としたウェブサイトの侵害は増加しています。最近のインシデントには以下が含まれます。 * **CPUID**: ハッカーが**CPUID**ウェブサイトを侵害し、**CPU-Z**および**HWMonitor**の悪意のある実行可能ファイルを配布しました。 * **DAEMONTOOLS**: 脅威アクターが**DAEMONTOOLS**ウェブサイトを侵害し、バックドアを含むトロイの木馬化されたインストーラーを配布しました。