JDownloader下载器遭入侵,用户被植入新型Python远控木马

admin
admin
admin
0
文章
0
评论
2026-05-18 05:48:36 网络安全文章 来源:ZONE.CI 全球网 0 阅读模式

文章总结: 2026年5月初JDownloader官网遭供应链攻击,攻击者将官方下载链接替换为携带Python远控木马的恶意安装程序。该木马采用多层加密和隐蔽通信机制,可执行任意代码。受影响用户需重装系统并验证文件签名,避免敏感操作。 综合评分: 87 文章分类: 供应链安全,恶意软件,漏洞预警,应急响应,安全工具

cover_image

JDownloader 下载器遭入侵,用户被植入新型 Python 远控木马

FreeBuf

2026年5月11日 19:48 上海

在小说阅读器读本章

去阅读

#

2026年5月初,全球数百万用户信赖的知名开源下载管理器 JDownloader 遭遇严重供应链攻击。攻击者暗中入侵了官方网站 jdownloader.org,将正版安装程序下载链接替换为携带全功能 Python 远程访问木马(RAT)的恶意文件。在为期两天的攻击窗口期内,任何下载了所谓”标准安装程序”的用户,都可能已在不知情的情况下将危险且具有持久性的后门程序植入其设备。

#

Part01

攻击技术细节

此次攻击并未篡改 JDownloader 实际软件或其应用内更新系统,而是专门针对网站下载链接实施入侵,具体包括 Windows 系统的”下载替代安装程序”选项和 Linux shell 安装程序链接。在2026年5月6日至7日期间点击这些链接的用户,接收到的文件看似正常,实则是包含分层恶意载荷的未签名封装程序。该欺骗手段极为逼真,致使许多用户绕过了 Windows SmartScreen 警告,误以为这些警报只是误报。

jdownloader.org 的研究人员和开发者在 Reddit 用户 PrinceOfNightSky 于2026年5月7日报告可疑行为后确认了入侵事件。该用户指出,下载的可执行文件被归为”Zipline LLC”和”The Water Team”等虚假发布者,而非合法开发商 AppWork GmbH。开发团队在UTC时间17:24将网站下线并展开全面调查。截至5月8日晚至9日,在清除所有恶意内容并加固服务器配置后,网站已恢复提供经过验证的安全下载链接。

Part02

漏洞成因与影响范围

社区研究员 Takia_Gecko 对恶意安装程序样本进行了深入技术分析,揭示了令人不寒而栗的复杂程度。假冒安装程序是一个未签名的封装程序,捆绑了真实的 JDownloader 安装程序和一个经过 XOR 加密的恶意可执行文件。该隐藏可执行文件使用 XOR 密钥”ectb”解码后,会显示一个 Windows x64 加载程序,随后该加载程序使用密钥”fywo”解密更多资源,最终解包一个受 PyArmor 8 保护的 Python 3.14 有效载荷。

最终载荷是一个用 Python 编写的完整远程访问木马框架,具有以下特征:

  • 使用 RSA-OAEP 和 AES-GCM 加密与命令控制服务器通信
  • 支持通过 Telegraph、Rentry、Codeberg 和洋葱地址等平台进行死投解析
  • 使用 RC4 加密(密钥为”Chahgh4a”)解码实时 C2 URL
  • 以 pythonw.exe 为宿主进程
  • 允许攻击者随意推送并执行任意 Python 代码

Part03

受影响用户应对措施

jdownloader.org 给出的最关键建议是:如果您下载并运行了受影响的安装程序,请对操作系统执行全新安装。虽然杀毒软件扫描可能检测到部分威胁,但无法保证清除恶意软件可能建立的所有持久化机制。多位用户使用 Malwarebytes 和 Windows Defender Offline 进行全盘扫描后未发现任何检测结果,这表明该恶意软件能够有效隐藏其在受感染系统中的存在。

若您仍保留下载文件但尚未运行:

  • 切勿执行该文件
  • 右键点击文件→属性→数字签名选项卡,验证数字签名
  • 正版 JDownloader 安装程序应由 AppWork GmbH 签名,任何未知发布者或缺失签名都是严重危险信号
  • 在确认系统清洁前,避免从受影响设备登录敏感账户
  • 通过其他可信设备修改所有重要密码

Part04

入侵指标(IoCs)

注:为防止意外解析或超链接,IP地址和域名已进行无害化处理(如使用[.])。仅在MISP、VirusTotal或SIEM等受控威胁情报平台中恢复原始格式。

参考来源:

JDownloader Downloader Hacked to Infect Users With New Python RAT

JDownloader Downloader Hacked to Infect Users With New Python RAT

推荐阅读

电报讨论

免责声明:

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景,旨在提升网络安全防护能力,具有明确的技术研究属性。

任何单位或个人未经授权,将本文内容用于攻击、破坏等非法用途的,由此引发的全部法律责任、民事赔偿及连带责任,均由行为人独立承担,本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布,若存在版权侵权或其他异议,请通过邮件联系处理,具体联系方式可点击页面上方的联系我

本文转载自:FreeBuf 《JDownloader 下载器遭入侵,用户被植入新型 Python 远控木马》

版权声明

本站仅做备份收录,仅供研究与教学参考之用。
读者将信息用于其他用途的,全部法律及连带责任由读者自行承担,本站不承担任何责任。

ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
安全领域涉猎者-乌云独行地带
“苕皮哥3.0” 网络安全文章

“苕皮哥3.0”

文章总结: 该文档为安全圈社群动态分享,作者展示群聊趣事截图并推广自建交流群(提供招聘信息与工具资源),同时推荐B站简历优化教程及GitHub开源安全面试资料。
05-180 评论
ZONE.CI 全球网 | 安全领域涉猎者-乌云独行地带
安全领域涉猎者-乌云独行地带
ZONE.CI 全球网
评论:0   参与:  0