文章总结： JDownloader官网于2026年5月6日至7日遭黑客入侵，Windows和Linux安装程序被替换为携带PythonRAT的恶意版本，利用未修补CMS漏洞篡改下载链接。攻击通过软件供应链传播，建议受影响用户验证安装程序哈希、扫描系统并重新安装，开发团队已实施安全加固。 综合评分： 82 文章分类： 漏洞分析,恶意软件,应急响应,供应链安全,漏洞预警

JDownloader 网站遭黑客攻击，Windows 和 Linux 用户面临恶意安装程序的威胁

原创

ZM ZM

暗镜

2026年5月16日 19:09 北京

在小说阅读器读本章

去阅读

一款深受数百万用户信赖的热门开源下载管理器，在攻击者入侵其官方网站后，突然变成了恶意软件传播平台。攻击者用针对 Windows 和 Linux 用户的木马版本替换了合法的安装程序。

JDownloader 开发人员证实，该事件发生在 2026 年 5 月 6 日至 7 日之间，当时威胁行为者未经授权访问了该项目的网络基础设施。在这个短暂但关键的窗口期内，攻击者修改了下载链接，以分发嵌入了远程访问功能的恶意安装程序。

JDownloader 被广泛用于管理从文件托管服务和流媒体平台下载的文件，它成为了软件供应链攻击的最新案例。

根据安全报告和 Reddit 社区的发现，用户开始注意到异常行为，包括防病毒警报和可疑的开发者签名，例如“Zipline LLC”和“The Water Team”。

具体影响到：

• Windows“替代安装程序”下载
• Linux shell 安装脚本

其他分发渠道，包括 macOS 版本、JAR 包、Flatpak、Snap 和 Winget 安装，均未受到影响。

经查，该恶意Windows安装程序会部署 基于Python的远程访问木马（RAT），使攻击者能够持续访问受感染的系统。此类恶意软件通常允许攻击者执行命令、窃取数据并部署其他有效载荷。

初步调查显示，攻击者利用了 JDownloader 网站上一个未修补的 CMS 漏洞。该漏洞允许未经授权修改访问控制列表 (ACL)，使攻击者能够在未经身份验证的情况下篡改下载链接。

攻击者一旦入侵系统，就会将合法的安装程序二进制文件替换为植入木马的版本，同时保持正常的下载过程。据 Malwarebytes 报告，这种策略显著提高了感染成功的可能性，因为用户会信任官方来源。

对许多用户而言，最初的入侵迹象来自微软Defender和其他杀毒引擎，它们将下载的可执行文件标记为恶意或未签名。在某些情况下，安装程序缺少正确的品牌标识和有效的数字签名，这更令人怀疑。

• 2026年5月6日至7日：网站遭到入侵，恶意安装程序被分发
• 2026年5月7日：开发商确认网站遭到入侵，并关闭了网站。
• 2026年5月8日至9日：网站恢复，提供干净且经过验证的下载资源
• 事件后：实施了安全加固和补丁措施

开发人员表示，通过应用程序本身安装更新的用户不受影响，因为此次攻击仅限于网站托管的安装程序。

此次事件凸显了可信软件分发渠道被恶意利用的日益严重的威胁。即使是短暂的入侵也可能使成千上万的用户面临恶意软件感染的风险。

典型的感染场景是，用户在入侵窗口期内从官方网站下载安装程序，执行安装程序，并在不知情的情况下安装后门，使攻击者能够远程控制系统。

缓解措施和建议

强烈建议在受影响期间下载过 JDownloader 的用户：

• 请使用官方来源验证安装程序哈希值
• 使用更新的防病毒或EDR工具扫描系统
• 删除可疑文件并从可信来源重新安装
• 监控异常系统行为或未经授权的访问

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：暗镜 ZM ZM《JDownloader 网站遭黑客攻击，Windows 和 Linux 用户面临恶意安装程序的威胁》