文章总结： JDownloader官方网站于2026年5月6日至7日遭供应链攻击，攻击者利用CMS漏洞篡改Windows和Linux安装程序分发恶意软件。Windows载荷为高度混淆的Python远程访问木马，Linux脚本注入恶意ELF文件并建立持久化机制。事件导致设备面临任意代码执行风险，建议受影响用户检查安装来源、验证数字签名并执行系统重装与凭证重置。 综合评分： 85 文章分类： 供应链安全,恶意软件,漏洞分析,应急响应,威胁情报

JDownloader供应链攻击事件：安装程序被替换为 Python RAT 恶意软件

原创

404号浪漫 404号浪漫

404号浪漫

2026年5月10日 13:04 北京

在小说阅读器读本章

去阅读

写在前面，Boos让新开一个赛道，主要是安全热点信息的快速简报~

0x01 核心速览

| | | | — | — | | 【事件】 | 【影响】 | | JDownloader 下载管理器官方网站遭入侵，攻击者篡改下载链接分发恶意Windows和 Linux 安装程序，影响持续至 2026 年 5 月 6 日至 7 日。Windows 端恶意软件被确认为基于Python 的高度混淆远程访问木马。 | 在此期间通过 Windows“备用安装程序”链接或Linux shell 脚本安装的均属恶意版本。攻击者可借载荷在受害设备上执行任意代码，导致凭据泄露等严重风险。 |

0x02 正文解读

2.0-事件发现与确认

该供应链攻击最初由 Reddit 用户“PrinceOfNightSky”发现，其在下载最新版 JDownloader 安装程序时被 Microsoft Defender 拦截，签名显示为可疑实体“Zipline LLC”或“The Water Team”。JDownloader 开发方 AppWork GmbH 随后证实官网遭入侵，并立即将网站下线进行调查。

2.1-攻击手法与影响范围

开发者在事件报告中指出，攻击者利用内容管理系统（CMS）中一个未修补的漏洞，在未经身份验证的情况下修改了网站的访问控制列表和内容。篡改仅发生在网页层，攻击者并未获得底层服务器或操作系统的控制权限。此次篡改专门指向：

• Windows 备用安装程序下载链接
• Linux Shell 安装程序链接

而未受影响的部分包括：应用内更新、macOS 下载、Flatpak/Winget/Snap 软件包以及主 JDownloader JAR 包。用户可通过检查文件属性中的“数字签名”鉴别真伪：合法文件由 “AppWork GmbH” 签名，非此签名或无签名者均为恶意版本。

图片：已签名的正版 JDownloader 安装程序

2.2-技术分析：Windows 载荷

网络安全研究员 Thomas Klemenc 对恶意 Windows 可执行文件分析后发现，该载荷充当加载器，最终部署一个经过高度混淆的、基于 Python 的远程访问木马（RAT）。该 RAT 采用模块化设计，作为机器人和远控框架运行，允许攻击者通过命令与控制服务器下发并执行任意 Python 代码。涉及的两个 C2 服务器为：

https://parkspringshotel[.]com/m/Lu6aeloo.phphttps://auraguest[.]lk/m/douV2quu.php

2.3-技术分析：Linux 感染链

BleepingComputer 分析发现，修改后的 Linux Shell 安装程序中被注入了恶意代码。该脚本会从 checkinnhotels[.]com 下载一个伪装成 SVG 文件的压缩包，解压释放出 “pkg” 和 “systemd-exec” 两个 ELF 二进制文件。

图片：修改后的 JDownloader Linux安装程序中恶意代码

• 提权与持久化：systemd-exec 被安装为 SUID-root 的 /usr/bin/ 下二进制文件；主载荷 pkg 被复制到/root/. local /share/.pkg，通过在 /etc/profile.d/systemd.sh 创建脚本实现持久化，并以伪装名 /usr/libexec/upowerd 启动。
• 混淆处理：pkg 载荷同样使用 Pyarmor 进行高度混淆，其具体功能暂未公开分析结果。

0x03 动作指引

3.0-污染范围核查：

检查您的系统是否在 2026 年 5 月 6 日至 7 日间通过官网执行过上述受影响渠道的安装。

• 恶意 Linux ELF 文件：systemd-exec、pkg
• 持久化脚本路径：/etc/profile.d/systemd.sh
• 伪装进程路径：/usr/libexec/upowerd
• 本地载荷目录：/root/.local/share/.pkg

3.1-真伪鉴别：

右键点击 JDownloader 安装文件 →“属性”→“数字签名”，确认签名者为 “AppWork GmbH”。签名不符或缺失的安装包切勿使用。

3.2-受害处置：

开发者与研究者建议，凡在受污染期间安装、运行过恶意安装程序的设备，应执行操作系统级别的完全重装，并在干净系统环境中重置所有曾在受影响设备上使用过的账户凭证。

3.3-IOC：

| | | | — | — | | IOC | 说明 | | https://parkspringshotel[.]com/m/Lu6aeloo.php | C2地址 | | https://auraguest[.]lk/m/douV2quu.php | C2地址 | | checkinnhotels[.]com | 恶意载荷分发 |

0x04 参考链接

1.https://www.bleepingcomputer.com/news/security/jdownloader-site-hacked-to-replace-installers-with-python-rat-malware/

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：404号浪漫 404号浪漫 404号浪漫《JDownloader供应链攻击事件：安装程序被替换为 Python RAT 恶意软件》