人気のダウンロードマネージャ JDownloader の公式サイトが侵害され、5 月 6 日 0:01 UTC〜5 月 7 日に配布された一部インストーラがマルウェア入りの第三者ペイロードに差し替えられていたと、BleepingComputer が 5 月 9 日に報じました。攻撃者は前日 23:55 UTC にダミーサイトで手順を試した後、本番サイトのアクセス制御リストとコンテンツを書き換えてリンクを差し替えています。
主なポイント
- 影響を受けたのは Windows「Download Alternative Installer」と Linux シェルインストーラの 2 経路のみ。macOS / Flatpak / Snap / Winget / 主要 JAR・アプリ内アップデートは無影響。
- Windows ペイロードは Python ベース RAT を展開し攻撃者に遠隔操作を許可。Linux 側は ELF 2 本を抽出し SUID-root の
systemd-execを仕込む persistence 機構を構築。 - 開発元はサイトをオフラインにして調査中。該当インストーラを実行したユーザは OS 再インストールとパスワード再発行を強く推奨。
- 侵害の起点はパッチ未適用の脆弱性で、CMS の権限制御をバイパスされた可能性が高いとの説明。
- ダウンロードソフト経由のサプライチェーン攻撃が 2026 年に入っても継続発生しており、
winget/ リポジトリ経由の入手と署名検証の徹底が改めて推奨される。
出典: JDownloader site hacked to replace installers with Python RAT malware (BleepingComputer)