El sitio web del popular gestor de descargas JDownloader fue comprometido a principios de esta semana para distribuir instaladores maliciosos para Windows y Linux. Se descubrió que la carga útil para Windows desplegaba un troyano de acceso remoto basado en Python.
El ataque a la cadena de suministro afecta a quienes descargaron instaladores del sitio web oficial entre el 6 y el 7 de mayo de 2026 a través de los enlaces de "Descargar instalador alternativo" para Windows o del instalador de shell para Linux.
Según los desarrolladores, los atacantes modificaron los enlaces de descarga del sitio web para que redirigieran a programas maliciosos de terceros en lugar de a instaladores legítimos.
El problema fue reportado inicialmente en Reddit, quien notó que Microsoft Defender estaba marcando como sospechosos los instaladores descargados. "He estado usando JDownloader y hace unas semanas cambié de PC. Por suerte tenía el instalador en una memoria USB, pero decidí descargar la última versión. La página web es oficial, pero Windows detecta todos los ejecutables para Windows como software malicioso y el desarrollador aparece como 'Zipline LLC'. Otras veces aparece como 'The Water Team'."
Los desarrolladores de JDownloader confirmaron posteriormente que el sitio había sido comprometido y lo desconectaron para investigar el incidente. En un informe de incidentes, los desarrolladores indicaron que su sitio web fue comprometido por atacantes que explotaron una vulnerabilidad sin parchear que les permitió modificar las listas de control de acceso y el contenido del sitio web sin autenticación.
El atacante no obtuvo acceso a la arquitectura del servidor subyacente; en particular, no tuvo acceso al sistema de archivos del host ni a un control más amplio del sistema operativo, más allá del contenido web gestionado por el CMS.
Los desarrolladores indicaron que la vulnerabilidad afectó únicamente a los enlaces de descarga del instalador alternativo para Windows y al enlace del instalador para la consola de Linux. Las actualizaciones integradas en la aplicación, las descargas para macOS, Flatpak, Winget, los paquetes Snap y el paquete JAR principal de JDownloader no se modificaron.
Los desarrolladores también señalaron que los usuarios pueden verificar la legitimidad de un instalador haciendo clic derecho en el archivo, seleccionando Propiedades y, a continuación, haciendo clic en la pestaña Firmas digitales. Si Firmas digitales muestra que está firmado por "AppWork GmbH", entonces es legítimo. Sin embargo, si el archivo no está firmado o tiene un nombre diferente, debe evitarse.
El investigador de ciberseguridad Thomas Klemenc analizó los ejecutables maliciosos de Windows y compartió indicadores de compromiso (IOC) del malware. Según Klemenc, el malware actúa como un cargador que despliega un RAT (Tanque de Acceso Remoto) basado en Python, altamente ofuscado.
Klemenc explicó que la carga útil de Python actúa como un bot modular y un marco de trabajo RAT, lo que permite a los atacantes ejecutar código Python enviado desde los servidores de comando y control (C2).
El análisis de BleepingComputer del instalador de shell de Linux modificado detectó código malicioso inyectado en el script que descarga un archivo de 'checkinnhotels[.]com' disfrazado como un archivo SVG.
Dado que el malware podría haber ejecutado código arbitrario en los dispositivos infectados, se recomienda a quienes instalaron los instaladores maliciosos que reinstalen sus sistemas operativos. También es posible que las credenciales de los dispositivos se hayan visto comprometidas, por lo que se recomienda encarecidamente restablecer las contraseñas después de limpiarlos.
Este año, los delincuentes han atacado cada vez más los sitios web de herramientas de software populares para distribuir malware a usuarios desprevenidos. En abril, comprometieron el sitio web de CPUID para modificar los enlaces de descarga que distribuían ejecutables maliciosos para las populares herramientas CPU-Z y HWMonitor.
A principios de este mes, ciberdelincuentes comprometieron el sitio web de DAEMONTOOLS para distribuir instaladores troyanizados con una puerta trasera.
Fuente: BC
No comments:
Post a Comment
Gracias por dejar un comentario en Segu-Info.
Gracias por comentar!