Sintesi

Proseguono le campagne di compromissione che interessano le supply chain, prendendo di mira in questo contesto JDownloader, noto software per la gestione e l’automazione dei download. L’obiettivo dell’attacco consiste nella distribuzione di una versione malevola dei pacchetti attraverso i canali ufficiali e nella conseguente installazione di un Remote Access Trojan (RAT) sui sistemi interessati. L’incidente si inserisce nel contesto delle recenti compromissioni delle supply chain inerenti ad altri progetti, riportati nella sezione Correlati.

Tipologia

• Remote Code Execution
• Information Disclosure
• Tampering

Descrizione e potenziali impatti

Nel dettaglio, il 6 maggio 2026 risulterebbero essere stati modificati i link per il download della versione per Windows “ Download Alternative Installer ” e della versione per Linux “ Linux shell installer ”. Gli attaccanti non hanno ottenuto accesso al filesystem dell’host o agli eseguibili originali, manipolando unicamente i reindirizzamenti dei link verso server web di terze parti malevole. Altresì non sono stati compromessi gli aggiornamenti in-app, gli installer per macOS, i pacchetti Flatpak/Snap/Winget, il JAR principale e gli altri installer di Windows.

In particolare, nella versione per Windows, l’eseguibile malevolo agisce come loader per un Remote Access Trojan (RAT) basato su Python, pesantemente offuscato, progettato per operare come bot modulare controllato da server C2.

Nella versione per Linux lo script modificato scarica un archivio camuffato da file SVG, estrae due binari ELF (pkg e systemd-exec), installa systemd-exec come binario SUID-root in /usr/bin/, garantisce la persistenza tramite uno script in /etc/profile.d/systemd.sh ed esegue il malware mascherandolo come /usr/libexec/upowerd. Il payload pkg è offuscato con Pyarmor.

Secondo quanto dichiarato dal vendor, il 7 maggio 2026 è stata rilevata la compromissione; nelle ore immediatamente successive sono iniziate le azioni di contenimento che hanno portato alla rimozione dei link malevoli, al rispristino delle versioni originali dei file nonché allo shutdown del server compromesso. Il 9 maggio 2026, al termine delle operazioni di verifica, è stata ripristinata la normale operatività.

Prodotti e versioni affette

Windows – Download Alternative Installer

• JDownloader2Setup_windows-amd64_v11_0_30.exe
• JDownloader2Setup_windows-amd64_v17_0_18.exe
• JDownloader2Setup_windows-amd64_v1_8_0_482.exe
• JDownloader2Setup_windows-amd64_v21_0_10.exe
• JDownloader2Setup_windows-x86_v11_0_29.exe
• JDownloader2Setup_windows-x86_v17_0_17.exe
• JDownloader2Setup_windows-x86_v1_8_0_472.exe

Linux

• JDownloader2Setup_unix_nojre.sh

Azioni di mitigazione

Secondo quanto dichiarato dal vendor, potrebbero risultare impattati esclusivamente gli utenti che hanno scaricato uno dei pacchetti elencati nella sezione Prodotti e versioni affette durante la finestra temporale di esposizione, dal 6 al 7 maggio 2026. Qualora ricadenti in tale casistica, si raccomanda di implementare le misure di mitigazione riportate di seguito e nel bollettino disponibile nella sezione Riferimenti.

Verifica dell’integrità

• Firma digitale (Windows): i file legittimi sono firmati esclusivamente da “AppWork GmbH”. I file compromessi risultano non firmati o firmati da entità fasulle come “Zipline LLC” o “The Water Team”.
• Hash SHA256: il report ufficiale dell’incidente di JDownloader, disponibile al link nella sezione Riferimenti, elenca gli hash esatti dei file sostitutivi malevoli (con dimensioni che variano da 61 a 107 MB per Windows e circa 7.9 MB per Linux).

Azioni richieste e bonifica

Se il file malevolo è stato scaricato ma non eseguito, il sistema è intatto. Eliminare il file è sufficiente.

Se il file malevolo è stato eseguito, il sistema deve essere considerato totalmente compromesso.

Le scansioni antivirus sono accorgimenti insufficienti contro i meccanismi di persistenza avanzati di un RAT. Le direttive tecniche impongono:

• Reinstallazione pulita del sistema operativo (wipe totale del disco).
• Reset immediato di tutte le password potenzialmente esposte o salvate sul dispositivo, operazione da effettuare obbligatoriamente da un dispositivo diverso e sicuro.