文章总结： 2026年5月6日至7日，JDownloader官方网站遭遇供应链攻击，攻击者篡改官网下载页面，将Windows备用安装程序与Linuxshell安装程序替换为恶意文件。恶意Windows安装程序会部署基于Python的远程访问木马（RAT），攻击者利用官网内容管理系统漏洞篡改链接，但未获取服务器完整权限。JDownloader团队已确认事件、修复漏洞并恢复官网，建议用户通过验证数字签名（正版签名为AppworkGmbH）确保安装程序安全。 综合评分： 85 文章分类： 供应链安全,恶意软件,漏洞分析,安全运营,安全建设

JDownloader 官方网站于 5 月 6 日至 5 月 7 日期间向 Windows 与 Linux 用户投放恶意软件

鹏鹏同学 鹏鹏同学

黑猫安全

2026年5月11日 08:48 湖北

在小说阅读器读本章

去阅读

2026 年 5 月 6 日至 5 月 7 日，JDownloader 官方网站遭遇供应链攻击，攻击者将正版 Windows 与 Linux 安装程序替换为恶意文件。JDownloader 是一款免费开源的下载管理工具，可简化并自动从各类网站、网盘服务商及视频平台下载文件。

攻击者篡改了官网下载链接，向用户推送恶意软件而非官方正版程序。研究人员发现，此次伪造的 Windows 安装程序会部署一款基于 Python 编写的远程访问木马（RAT），使攻击者能够远程控制沦陷主机。

本次攻击主要针对下载Windows 备用安装程序与 Linux Shell 安装程序 的用户。JDownloader 在 Windows、Linux、macOS 平台拥有数百万用户，此次安全事件引发了极大安全隐患。

Reddit 用户 PrinceOfNightSky 最先发现此次官网被入侵事件，微软 Defender 将官网下载的安装程序标记为恶意软件。该用户发现，安装程序开发者名称变为陌生的 Zipline LLC 和 The Water Team，而非正规发行商 AppWork GmbH。

该用户发帖称：“我一直在使用 JDownloader，几周前换了新电脑。本来 U 盘里存有旧安装包，但我想重新下载最新版。网站确实是官方官网，但 Windows 所有 EXE 安装包都被系统判定为恶意软件，开发者显示为‘Zipline LLC’。有时又显示为‘The Water Team’。正版软件开发商明明是 AppWork，系统还会拦截运行，我也不会手动放行。最后我插上 U 盘，里面的安装包带有 JDownloader 标识，开发者也正常显示为 AppWork……”

JDownloader 开发团队很快证实网站遭入侵，并临时关停官网开展调查。

开发团队回复该用户：“我们已确认官网被攻陷，现已下线做进一步排查。攻击者篡改了备用下载页面，替换了下载链接与相关信息。恶意安装程序缺少数字签名，因此微软智能筛选会拦截并告警其运行；正规安装程序均带有合法数字签名，不受影响。”

攻击者利用官网内容管理系统中一处未修复漏洞，篡改下载页面、用恶意文件替换正版安装包链接，但并未获取服务器及操作系统的完整权限。

本次事件仅影响 Windows「备用安装程序」链接 和 Linux Shell 安装程序；软件内更新、macOS 安装包、Flatpak、Winget、Snap 软件包以及主 JAR 安装包均安全未受波及。开发团队建议用户通过文件属性的数字签名选项校验安装程序：正版安装程序签名为 AppWork GmbH，无签名或签名为其他发行商的文件均不可信。

官方事件公告原文翻译：“2026 年 5 月初，攻击者篡改了 JDownloader 官方网站，将页面上部分安装包下载链接从正版安装程序重定向至第三方恶意文件：仅官网的 Windows「备用安装程序」下载链接、以及网站上的 Linux Shell 安装链接受到影响，官网其他安装程序均无异常。我方正版安装包本体并未被篡改，仅页面发布的下载链接指向了错误恶意地址。安装程序二进制文件仍照常托管在外部服务器。确认事件后，官方已移除恶意链接地址、将下载链接恢复至正规外部源，并修复了网站安全漏洞。在分析、处置与全面核查期间，官网全程保持下线状态。2026 年 5 月 8 日至 9 日夜间（UTC 时间），完成所有安全校验后官网恢复上线，下载链接均已核验为纯净安全版本，正常服务恢复。”

公告表示，攻击者仅利用网站内容管理系统篡改页面内容与下载链接，始终未侵入底层服务器及操作系统。目前 jdownloader.org 已完成安全加固与恢复。

ANY.RUN 沙箱分析还原了该恶意软件执行链路，恶意载荷会延迟8 分钟后才正式激活运行。

以下为本次攻击的入侵指标（IOCs）：初始下发安装包哈希：5a6636ce490789d7f26aaa86e50bd65c7330f8e6a7c32418740c1d009fb12ef3第二阶段载荷哈希：77a60b5c443f011dc67ace877f5b2ad7773501f3d82481db7f4a5238cf895f80PyArmor 加密数据段哈希：5fdbee7aa7ba6a5026855a35a9fe075967341017d3cb932e736a12dd00ed590a

恶意域名链接：hxxps://parkspringshotel . com/m/Lu6aeloo.php（疑似另一被劫持网址）hxxpx://auraguest . lk/m/douV2quu.php（疑似另一被劫持网址）

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：黑猫安全 鹏鹏同学 鹏鹏同学《JDownloader 官方网站于 5 月 6 日至 5 月 7 日期间向 Windows 与 Linux 用户投放恶意软件》