## Site do JDownloader Comprometido Atacantes modificaram os links de download no site oficial do **JDownloader** para servir payloads maliciosos de terceiros em vez dos instaladores legítimos. Este ataque de cadeia de suprimentos afetou usuários que baixaram o instalador alternativo para Windows e o instalador de shell para Linux. **JDownloader** é um aplicativo de gerenciamento de downloads gratuito e amplamente utilizado, que suporta downloads automatizados de vários serviços de hospedagem de arquivos e sites de vídeo. ## Descoberta e Confirmação O comprometimento foi inicialmente relatado no Reddit por um usuário que notou o **Microsoft Defender** sinalizando os instaladores baixados como maliciosos. Os desenvolvedores do **JDownloader** confirmaram posteriormente a violação e tiraram o site do ar para investigação. De acordo com um relatório de incidente, os atacantes exploraram uma vulnerabilidade não corrigida no sistema de gerenciamento de conteúdo (CMS) do site. Isso permitiu que eles alterassem as listas de controle de acesso e o conteúdo do site sem autenticação. "Alterações foram feitas através do sistema de gerenciamento de conteúdo do site, afetando páginas e links publicados", afirmou o relatório. Os desenvolvedores esclareceram que apenas o instalador alternativo para Windows e o instalador de shell para Linux foram afetados. Atualizações dentro do aplicativo, downloads para macOS, pacotes Flatpak, Winget, Snap e o pacote principal **JDownloader** JAR permaneceram intocados. ## Verificando a Autenticidade do Instalador Os usuários podem verificar a autenticidade de um instalador verificando sua assinatura digital. Clique com o botão direito no arquivo, selecione **Propriedades** e navegue até a guia **Assinaturas Digitais**. Um instalador legítimo será assinado por "AppWork GmbH". Arquivos não assinados ou assinados por uma entidade diferente devem ser evitados.  ## Análise de Malware Embora a equipe do **JDownloader** tenha compartilhado os instaladores maliciosos para análise, eles declararam que a análise aprofundada de malware estava além de seu escopo. O pesquisador de segurança cibernética Klemenc analisou os executáveis maliciosos para Windows, descobrindo um RAT baseado em Python altamente ofuscado. O payload Python funciona como um bot modular e framework RAT, permitindo que os atacantes executem código Python entregue de servidores de comando e controle (C2). Klemenc identificou os seguintes servidores C2: https://parkspringshotel[.]com/m/Lu6aeloo.php https://auraguest[.]lk/m/douV2quu.php A análise do instalador de shell para Linux modificado revelou código malicioso injetado no script, que baixava um arquivo compactado disfarçado de arquivo SVG de 'checkinnhotels[.]com'.  O script extrai dois binários ELF, 'pkg' e 'systemd-exec', e instala 'systemd-exec' como um binário SUID-root em '/usr/bin/'. O payload principal é copiado para '/root/.local/share/.pkg', um script de persistência é criado em '/etc/profile.d/systemd.sh', e o malware é lançado mascarado como '/usr/libexec/upowerd'. O payload 'pkg' é altamente ofuscado usando Pyarmor, obscurecendo sua funcionalidade. ## Remediação O **JDownloader** aconselha os usuários que baixaram e executaram os instaladores afetados a reinstalar seus sistemas operacionais devido ao potencial de execução de código arbitrário. Também é recomendado redefinir senhas, pois as credenciais podem ter sido comprometidas. ## Ataques de Cadeia de Suprimentos Crescentes Comprometimentos de sites visando ferramentas de software populares estão em ascensão. Incidentes recentes incluem: * **CPUID**: Hackers comprometeram o site da **CPUID** para distribuir executáveis maliciosos para **CPU-Z** e **HWMonitor**. * **DAEMONTOOLS**: Atores de ameaças comprometeram o site da **DAEMONTOOLS** para distribuir instaladores trojanizados contendo um backdoor.