Уебсайтът на популярния мениджър за изтегляне JDownloader беше жертва на хакери, които в продължение на повече от ден разпространяваха злонамерени инсталационни файлове сред потребители на Windows и Linux, като заместваха легитимните файлове за изтегляне със зловреден софтуер.

Екипът на JDownloader потвърди хакването и веднага свали уебсайта за пълно разследване. Мярката дойде, след като потребител в Reddit съобщи, че новите изтегляния са били маркирани от Windows SmartScreen и са посочили подозрителен издател, а именно Zipline LLC, вместо очакваната подписи AppWork. Публикацията на потребителя бързо привлече внимание и накара разработчик от екипа да се намеси и да потвърди пробива.

Екипът на JDownloader заяви, че първоначалното разследване е потвърдило ограничено, но сериозно нарушение. Нападателите специално са модифицирали алтернативната страница за изтегляне на 6 май. Те са заменили всички алтернативни линкове за инсталатора за Windows със свои собствени злонамерени, неподписани изпълними файлове.

Инсталаторът за Linux shell също беше заменен с версия, съдържаща злонамерен shell код. Въпреки това екипът бързо успокои потребителите, че основният файл JDownloader.jar, инсталаторите за macOS и пакетите от хранилища като Winget, Flatpak и Snap никога не са били компрометирани. Тези пакети разчитат на отделна инфраструктура, защитена с контролни суми, а актуализациите в приложението са защитени с цифрови подписи от край до край.

Нападателите са успели да получат достъп благодарение на неотстранена уязвимост в сигурността на уебсайта. Тази уязвимост им позволява да променят списъците за контрол на достъпа на сайта, без да е необходимо да се удостоверяват. След като си предоставиха права за редактиране, те просто замениха официалните линкове за изтегляне със свои собствени. Отзивите на потребители, които са стартирали заразените файлове, са доста тревожни, като някои посочват, че зловредният софтуер е деактивирал напълно Windows Defender.

JDownloader е най-новата жертва на атака от типа „верига на доставки“, която използва популярността на надеждна програма за разпространение на зловреден софтуер. Едва миналия месец хакери проникнаха в официалния уебсайт на CPUID (производителят на популярните инструменти за диагностика на хардуера CPU-Z и HWMonitor) и предоставиха файл с подвеждащо име (HWiNFO_Monitor_Setup.exe), който заблуди Windows Defender.

За CPU-Z хакерите са прикачили злонамерен, компилиран с Zig файл, наречен CRYPTBASE.dll, към иначе чистата програма CPU-Z, така че когато я стартирате, програмата без да знаете първо зарежда фалшивия, злонамерен DLL файл в паметта си. След като потребител на Reddit подаде сигнал, CPUID бързо свали уебсайта, запуши уязвимостта в API и възстанови чистите линкове за изтегляне.

Снимка: Unsplash

Виж още: Успехът на MacBook Neo накара Microsoft да плати за проучване, което хвали лаптопите с Windows