2026年5月6日至7日,知名开源下载管理器JDownloader的官方网站遭遇供应链攻击。攻击者利用内容管理系统(CMS)的未修补漏洞,在未获得服务器底层访问权限的情况下,篡改了网站的替代下载页面。
5月6日零时前后,攻击者将页面上的Windows可执行文件替换为未经签名的恶意程序,同时将Linux shell安装脚本替换为包含恶意代码的版本,整个攻击窗口持续约24小时。JDownloader开发团队发现后第一时间关闭网站展开全面调查,于5月9日完成修复后重新上线。
攻击者利用CMS的未修补漏洞,绕过了服务器底层访问权限的限制。Windows版本的恶意程序是一个经过重度混淆的Python远程访问木马(RAT),采用模块化架构,能从攻击者控制的命令与控制(C2)服务器接收并执行任意Python代码。
这些恶意安装程序要么完全没有数字签名,要么使用了虚假的发布者名称,如“Zipline LLC”“The Water Team”“Peace Team”等,而非合法的“AppWork GmbH”。Linux版本的攻击中,被篡改的shell脚本会从外部域名下载一个伪装成SVG图像文件的压缩包,解压后释放恶意二进制文件,并通过修改系统文件实现持久化和隐藏自身活动。
此次攻击暴露了JDownloader存在安全技术陈旧、架构缺陷或管理疏漏的问题。CMS的未修补漏洞是导致攻击成功的关键因素,这反映出企业在安全管理上的滞后,没有及时对系统漏洞进行修复,使得网站处于易受攻击的状态。
JDownloader团队强调,此次攻击范围相对有限,主程序的JDownloader.jar文件、macOS安装程序,以及通过Winget、Flatpak、Snap和Docker等官方软件仓库分发的包均未受到影响,应用程序的内置更新机制也全程保持安全。
但对于在5月6日至7日期间通过官网替代下载页获取并运行了Windows或Linux安装程序的用户,由于恶意程序具备深度持久化能力和系统级访问权限,最安全的做法是备份重要数据后重装操作系统,同时立即重置所有在该设备上使用过的密码和凭据。
编辑观点:此次JDownloader官网攻击事件警示全行业,及时修补系统漏洞、加强安全管理刻不容缓,否则将给用户带来严重的安全风险。
