文章总结： 2026年5月初，JDownloader官网遭供应链攻击，黑客替换Windows与Linux安装程序链接为携带新型Python远程控制木马的恶意文件。该木马通过多层加密与隐藏技术，能持久控制受感染主机。官方建议受影响用户彻底重装系统，并验证文件数字签名是否为AppworkGmbH。 综合评分： 78 文章分类： 恶意软件,供应链安全,漏洞分析,应急响应,终端安全

JDownloader 下载器被黑客入侵，使用新型 Python 远程控制木马感染用户

原创

网络安全9527 网络安全9527

安全圈的那点事儿

2026年5月11日 19:28 北京

在小说阅读器读本章

去阅读

JDownloader 是一款广受欢迎的开源下载管理器，深受全球数百万用户的信赖。2026 年 5 月初，它成为一起严重的供应链攻击事件的中心。攻击者悄悄入侵了官方的 jdownloader.org 网站，并将合法的安装程序下载链接替换为恶意文件，这些恶意文件携带了一个功能齐全的基于 Python 的远程访问木马。

在短短两天的窗口期内，任何下载了他们认为是标准安装程序的用户，都可能在不知不觉中将一个危险且持久的后门程序直接安装到了自己的计算机上。

此次攻击并未篡改 JDownloader 的实际软件或其应用内更新系统。相反，它针对的是该网站的下载链接，特别是 Windows 系统的“下载备用安装程序”选项和 Linux shell 安装程序链接。

2026年5月6日至7日期间点击这些链接的用户收到的文件看似真实，但实际上是未签名的包装文件，其中隐藏着多层恶意代码。这种欺骗手段非常逼真，以至于许多用户忽略了Windows SmartScreen的警告，认为这些警报只是误报。

jdownloader.org 的研究人员和开发人员在Reddit 用户 PrinceOfNightSky 于 2026 年 5 月 7 日举报可疑行为后，证实了此次入侵。该用户指出，下载的可执行文件被归类为名为“Zipline LLC”和“The Water Team”的发行商，而不是合法的开发商 AppWork GmbH。

团队在数小时内，即世界协调时17:24，将网站下线，并展开全面调查。5月8日晚至5月9日凌晨，网站恢复运行，所有恶意内容均已清除，服务器配置也已加强，以防止未来再次遭到攻击。所有链接均已验证安全。

JDownloader 下载器被破解

此次攻击源于网站内容管理系统中一个未修补的漏洞，该漏洞允许攻击者在未经身份验证的情况下更改访问控制列表并修改特定页面。

日志显示，攻击者甚至在5月5日对一个低流量的测试页面进行了预演，之后才在第二天替换了正式的安装程序链接。整个行动展现了精心策划和耐心等待，这是老练的威胁行为者的典型特征，他们显然意图感染尽可能多的用户。

社区研究员 Takia_Gecko 对恶意安装程序样本进行了深入的技术分析，揭示了其惊人的复杂程度。该伪造安装程序是一个未签名的包装器，它将真正的合法 JDownloader 安装程序与第二个经过 XOR 加密的恶意可执行文件捆绑在一起。

使用 XOR 密钥“ectb”解码隐藏的可执行文件，从而揭示出一个 Windows x64 加载器，然后使用密钥“fywo”解密更多资源，以解包受 PyArmor 8 保护的 Python 3.14 有效载荷。

最终的有效载荷是一个用 Python 编写的完整远程访问木马框架。它使用 RSA-OAEP 和AES-GCM 加密与其命令与控制服务器通信，支持通过 Telegraph、Rentry、Codeberg 和洋葱地址等平台进行死信箱解析，并使用密钥为“Chahgh4a”的 RC4 加密来解码实时 C2 URL。该木马以 pythonw.exe 为宿主，使攻击者能够随意在任何受感染的机器上推送和执行任意 Python 代码。

受影响用户现在应该做什么

jdownloader.org 给出的最关键建议很明确：如果您下载并运行了受影响的安装程序，请彻底重新安装操作系统。杀毒软件扫描或许可以检测到一些威胁，但无法保证彻底清除恶意软件可能建立的所有持久化机制。

一些用户使用 Malwarebytes 和Windows Defender Offline 等工具进行了全面扫描，但没有发现任何恶意软件，这表明该恶意软件能够有效地隐藏其在受感染系统中的存在。

如果您仍然保留着已下载的文件但尚未运行，请不要运行它。而是通过右键单击该文件，选择“属性”，然后检查“数字签名”选项卡来验证数字签名。

正版 JDownloader 安装程序均由 AppWork GmbH 签名。任何未知发布者或缺少签名都属于严重可疑信号。在确认系统安全之前，请避免在受影响的计算机上登录敏感账户，并使用其他可信设备更改所有重要密码。

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈的那点事儿 网络安全9527 网络安全9527《JDownloader 下载器被黑客入侵，使用新型 Python 远程控制木马感染用户》