流行的下载管理器 JDownloader 的官方网站因一个未修补的安全漏洞遭到黑客攻击。攻击者修改了网站的下载页面,向 Windows 和 Linux 用户分发了包含恶意软件的安装包。部分用户报告称,该恶意软件甚至禁用了 Windows Defender。JDownloader 团队在发现后立即将网站下线进行调查,并确认主程序、macOS 版本及通过应用商店分发的版本是安全的,这次事件是典型的利用热门软件信任链进行攻击的案例。
攻击的细节
事件的最初线索来自一名 Reddit 用户,他发现新下载的文件被 Windows SmartScreen 标记,且发布者签名并非预期的 “AppWork” 而是可疑的 “Zipline LLC”。JDownloader 团队的一名开发者随后介入并确认了入侵事件。
- 攻击者利用了一个网站上 未修补的安全漏洞,该漏洞允许他们在未经身份验证的情况下修改网站的访问控制列表。
- 获得编辑权限后,他们篡改了 替代下载页面 上的所有 Windows 安装程序链接,换成了恶意的、未签名的可执行文件。
- Linux 的 Shell 安装脚本也被替换为 包含恶意代码的版本。
部分运行了受感染文件的用户报告称,该恶意软件 完全禁用了 Windows Defender。
影响范围与安全版本
JDownloader 团队在初步调查后确认,此次入侵范围有限但性质严重。幸运的是,并非所有分发渠道都受到了影响。
以下版本和渠道被确认是 安全且未受影响的:
- 核心主程序文件
JDownloader.jar。 - 所有的 macOS 安装包。
- 通过 Winget、Flatpak 和 Snap 等软件仓库分发的版本,这些渠道依赖有校验和保护的独立基础设施。
- 程序内的自动更新,因为它们受到 端到端数字签名 的保护。
典型的供应链攻击
这起事件是近期一系列 供应链式攻击 的最新案例,攻击者通过入侵受信任的软件官网来分发恶意软件。这种策略利用了用户对知名软件的信任。
就在上个月,硬件诊断工具 CPU-Z 的制造商 CPUID 官网也遭到了类似的攻击:
- 黑客入侵了官网,并提供了一个伪装成 HWiNFO 的恶意安装包。
- 对于 CPU-Z,攻击者将一个名为
CRYPTBASE.dll的 恶意动态链接库文件 与干净的 CPU-Z 程序捆绑在一起。 - 当用户运行程序时,恶意的 DLL 文件会被优先加载到内存中,从而实现攻击。