EL SITIO WEB DE JDOWNLOADER ES HACKEADO, DISTRIBUYE INSTALADORES MALICIOSOS POR MÁS DE 24 HORAS
El sitio web oficial de JDownloader, una popular herramienta de gestión de descargas, fue comprometido por actores maliciosos que lograron reemplazar los archivos de instalación legítimos por versiones cargadas de malware dirigidas tanto a usuarios de Windows como de Linux, y todo esto ocurrió durante más de un día antes de que el ataque fuera detectado.
El equipo de desarrollo de JDownloader confirmó la intrusión y retiró el sitio de internet para llevar a cabo una investigación exhaustiva, luego de que un usuario de Reddit encendiera las alarmas. Dicho usuario notó que los archivos recién descargados estaban siendo marcados por Windows SmartScreen y aparecían firmados bajo un nombre de editor desconocido — «Zipline LLC» — en lugar del certificado esperado de «AppWork». La publicación se difundió rápidamente y terminó llamando la atención de un desarrollador de JDownloader, quien intervino para confirmar oficialmente la brecha de seguridad.
P U B L I C I D A D
Nuestros anuncios no son intrusivos y nos ayudan a permanecer en línea. Por favor apóyanos por medio de no bloquear los anuncios
Según los hallazgos preliminares del equipo, los atacantes apuntaron específicamente a la página de descargas alternativas del sitio el 6 de mayo, reemplazando todos los enlaces de instaladores para Windows con ejecutables maliciosos y sin firma digital. El instalador de shell para Linux también fue manipulado, con código de shell malicioso inyectado en su interior.
No obstante, el equipo aclaró que el archivo principal JDownloader.jar, todos los instaladores para macOS y los paquetes disponibles a través de Winget, Flatpak y Snap permanecieron intactos. Estos canales operan sobre una infraestructura independiente con verificación mediante sumas de comprobación, y las actualizaciones dentro de la aplicación cuentan con la protección adicional de firmas digitales de extremo a extremo.
La causa raíz de la brecha fue una vulnerabilidad sin parchear en el backend del sitio web que permitía a los atacantes manipular las Listas de Control de Acceso sin necesidad de autenticación alguna. Al explotar esta falla para otorgarse privilegios de edición, pudieron reemplazar silenciosamente los enlaces de descarga oficiales. Los usuarios que ejecutaron los archivos comprometidos sin saberlo reportaron consecuencias graves, entre ellas la desactivación total de Windows Defender en sus equipos.
Este incidente sigue de cerca un ataque casi idéntico ocurrido el mes pasado, cuando el sitio web oficial de CPUID — desarrollador de las populares herramientas de diagnóstico de hardware CPU-Z y HWMonitor — para sistemas operativos Windows fue vulnerado de manera similar. En ese caso, los hackers distribuyeron un archivo con un nombre engañoso que activó las alertas de Windows Defender. El paquete malicioso incluía una DLL falsa compilada en Zig llamada CRYPTBASE.dll junto a un instalador de CPU-Z aparentemente limpio, lo que provocaba que la aplicación cargara silenciosamente la biblioteca maliciosa en memoria durante su ejecución. Tras la denuncia de un usuario de Reddit, CPUID actuó con rapidez: retiró el sitio, parcheó la vulnerabilidad explotada en la API y restableció las descargas legítimas.
Malos actores están usando la IA para encontrar agujeros de seguridad tanto en software como en sistemas de distribución del software. Esto continúa ascendiendo a niveles alarmantes, por lo que es necesario mantener extrema precaución.
Por ejemplo, recientemente se ha observado un aumento en el número de ataques a múltiples plugins de WordPress. WordPress es el CMS más popular y da servicio a aproximadamente el 42-43 % de todos los sitios web. Domina el mercado (con una cuota de casi el 60 %).
El compromiso de JDownloader es un ejemplo más de cómo los atacantes continúan aprovechando la confianza que los usuarios depositan en herramientas de software conocidas y ampliamente distribuidas como vector para la distribución de malware.
Si eres usuario de JDownloader y descargaste el instalador del programa o actualizaste el programa en los días 6 y 7, es extremadamente importante que tomes medidas para escanear tu sistema y asegurarte de que tu sistema no esté infectado o comprometido por algún tipo de malware y de que los atacantes no obtegan acceso a tus cuentas o datos privados.
