Jdownloader hackerato: trojan python infetta utenti, ecco come proteggersi
Attenzione immediata per gli utenti di JDownloader: se hai scaricato l’installer dal sito ufficiale tra il 6 e il 7 maggio 2026, il tuo computer potrebbe essere infetto da un pericoloso trojan remoto scritto in Python. La soluzione rapida è reinstallare completamente il sistema operativo per garantire la rimozione totale del malware. Non fidarti solo delle scansioni antivirus, che potrebbero non rilevarlo.
JDownloader, il popolare gestore di download open-source utilizzato da milioni di persone in tutto il mondo, è stato al centro di un sofisticato attacco supply chain all’inizio di maggio 2026. Gli attaccanti hanno compromesso silenziosamente il sito ufficiale jdownloader.org, sostituendo i legittimi link di download con file malevoli che contenevano un trojan di accesso remoto (RAT) pienamente funzionale basato su Python. Chiunque abbia scaricato l’installer credendolo autentico durante una finestra di due giorni potrebbe aver installato una backdoor persistente sul proprio dispositivo.
Come è avvenuto l’attacco
L’attacco non ha modificato il software JDownloader in sé né il suo sistema di aggiornamenti in-app. Gli hacker si sono concentrati sui link di download del sito web, in particolare le opzioni “Download Alternative Installer” per Windows e il link per l’installer shell di Linux. Gli utenti che hanno cliccato su quei link tra il 6 e il 7 maggio 2026 hanno ricevuto file apparentemente identici agli originali, ma in realtà wrapper non firmati che nascondevano un payload malevolo multilivello.
La frode era così convincente che molti utenti hanno ignorato gli avvisi di Windows SmartScreen, considerandoli falsi positivi. Uno sviluppatore ha segnalato il problema su Reddit il 7 maggio, notando che gli eseguibili scaricati erano attribuiti a editori fasulli come “Zipline LLC” e “The Water Team”, invece del legittimo AppWork GmbH.
Il team di JDownloader ha reagito tempestivamente: il sito è stato messo offline alle 17:24 UTC del 7 maggio e, dopo un’indagine completa, ripristinato la notte tra l’8 e il 9 maggio con link verificati e configurazioni server rinforzate.
Immagine rappresentativa dell’attacco supply chain a JDownloader
La vulnerabilità sfruttata
L’incidente è stato causato da una vulnerabilità non patchata nel content management system (CMS) del sito, che permetteva di modificare le liste di controllo accessi (ACL) senza autenticazione e alterare pagine specifiche. I log hanno rivelato che gli attaccanti hanno effettuato una prova su una pagina di test a basso traffico il 5 maggio, prima di passare ai link live il giorno successivo. Questa pianificazione attenta indica la mano di attori di minacce sofisticati con l’obiettivo di massimizzare le infezioni.
Azioni immediate per gli utenti colpiti
Il consiglio principale dal team di JDownloader è inequivocabile: se hai scaricato e eseguito uno degli installer compromessi, esegui una reinstallazione completa del sistema operativo. Le scansioni antivirus, inclusi tool potenti come Malwarebytes e Windows Defender Offline, potrebbero non rilevare tutte le meccaniche di persistenza del malware.
Se hai ancora il file scaricato ma non l’hai eseguito:
- Non eseguirlo.
- Verifica la firma digitale: clic destro sul file > Proprietà > Scheda Firma digitale.
- Gli installer genuini sono firmati da AppWork GmbH. Qualsiasi editore sconosciuto o firma mancante è un segnale di allarme.
Fino a quando non sei sicuro che il sistema sia pulito:
- Evita di accedere ad account sensibili dal dispositivo compromesso.
- Cambia tutte le password importanti da un dispositivo fidato separato.
Indicatori di compromissione (IoC)
Ecco gli hash SHA256 dei file malevoli identificati:
| Tipo | SHA256 | Descrizione |
|---|---|---|
| Linux | 6d975c05ef7a164707fa359284a31bfe0b1681fe0319819cb9e2c4eec2a1a8af | Installer shell malevolo (7,934,496 bytes) |
| Windows AMD64 | fb1e3fe4d18927ff82cffb3f82a0b4ffb7280c85db5a8a8b6f6a1ac30a7e7ed9 | v11.0.30 (104,910,336 bytes) |
| Windows AMD64 | 04cb9f0bca6e0e4ed30bc92726590724bf60938440b3825252657d1b3af45495 | v17.0.18 (101,420,032 bytes) |
| Windows AMD64 | 5a6636ce490789d7f26aaa86e50bd65c7330f8e6a7c32418740c1d009fb12ef3 | v1.8.0.482 (61,749,248 bytes) |
| Windows AMD64 | 32891c0080442bf0a0c5658ada2c3845435b4e09b114599a516248723aad7805 | v21.0.10 (107,124,736 bytes) |
| Windows x86 | de8b2bdfc61d63585329b8cfca2a012476b46387435410b995aeae5b502bd95e | v11.0.29 (87,157,760 bytes) |
| Windows x86 | e4a20f746b7dd19b8d9601b884e67c8166ea9676b917adea6833b695ba13de16 | v17.0.17 (86,576,128 bytes) |
| Windows x86 | 4ff7eec9e69b6008b77de1b6e5c0d18aa717f625458d80da610cb170c784e97c | v1.8.0.472 (62,498,304 bytes) |
Altri IoC:
- URL C2: parkspringshotel[.]com/m/Lu6aeloo.php, auraguest.lk/m/douV2quu[.]php (decodificati con chiave RC4 “Chahgh4a”)
- Chiavi crittografiche: XOR “ectb”, “fywo”; RC4 “Chahgh4a”
- Registro di Windows: HKCU\SOFTWARE\Python
- Processo host: pythonw.exe
- Editori fasulli: Zipline LLC, The Water Team
Nota: i domini sono defanged per sicurezza.
Approfondimento tecnico
Analisi del payload malevolo
Un ricercatore indipendente ha disassemblato gli installer compromessi, rivelando un’architettura multilivello di altissima sofisticazione:
- Wrapper non firmato: Conteneva l’installer legittimo di JDownloader + un eseguibile malevolo XOR-criptato con chiave “ectb”.
- Loader Windows x64: Decrittava risorse aggiuntive con chiave “fywo”, estraendo un payload Python 3.14 protetto da PyArmor 8.
- RAT Python completo: Comunicava con server C2 usando RSA-OAEP e AES-GCM. Supportava resolver dead-drop su piattaforme come Telegraph, Rentry, Codeberg e indirizzi onion.
- Esecuzione arbitraria: Gli attaccanti potevano eseguire codice Python remoto a piacimento.
Il RAT si auto-ospitava sotto pythonw.exe, rendendolo stealthy e resistente alle scansioni standard.
Lezioni per la sicurezza
Questo attacco evidenzia i rischi delle supply chain attacks:
- Verifica sempre le firme digitali.
- Usa download da canali multipli (GitHub, repository ufficiali).
- Monitora i processi insoliti come pythonw.exe su sistemi non-Python.
- Aggiorna CMS e patcha vulnerabilità tempestivamente.
Per i tecnici: integra questi IoC nei tuoi SIEM (MISP, VirusTotal) e configura regole YARA per rilevare pattern XOR/PyArmor.
Prevenzione futura
Scarica JDownloader solo da fonti verificate. Il team raccomanda l’uso dell’installer principale e verifica manuale delle firme. Mantieniti informato sulle minacce informatiche e usa antivirus aggiornati come layer aggiuntivo, ma non come unica difesa.
Resta al sicuro: la cybersecurity è responsabilità condivisa.
(Articolo di oltre 1100 parole, ottimizzato SEO con LSI keywords: malware RAT, attacco supply chain, sicurezza JDownloader, trojan Python)
Fonte: https://cybersecuritynews.com/jdownloader-downloader-hacked/
