App per download compromessa: installer diffondevano un pericoloso RAT

Un attacco alla supply chain ha colpito il sito ufficiale di JDownloader tra il 6 e il 7 maggio 2026, trasformando alcuni installer legittimi in vettori di malware.

JDownloader è uno dei download manager più diffusi al mondo, utilizzato da milioni di utenti per automatizzare i download da piattaforme video, hosting file e servizi premium. La compromissione è stata individuata non da una società di threat intelligence, ma da un utente Reddit che ha notato come Microsoft Defender classificasse immediatamente come pericolosi gli installer scaricati dal sito ufficiale. Gli sviluppatori hanno poi confermato l’incidente e portato offline il portale per le operazioni di contenimento.

Come è avvenuta la compromissione

Gli aggressori hanno sfruttato una vulnerabilità nel sistema di gestione del sito per modificare ACL e contenuti senza autenticazione valida.

Il codice sorgente di JDownloader non risulta compromesso: la manipolazione ha riguardato esclusivamente i link di download presenti nelle pagine ufficiali. I file legittimi sono stati sostituiti con payload ospitati su infrastrutture esterne, in particolare il link “Download Alternative Installer” per Windows e uno shell installer per distribuzioni Linux. Gli aggiornamenti interni dell’applicazione e le installazioni già presenti sui dispositivi degli utenti non risultano coinvolti. Il fatto che i file venissero scaricati direttamente dal dominio ufficiale ha reso l’attacco particolarmente insidioso: nessun avviso del browser, nessun segnale visibile di anomalia per l’utente medio.

Il malware e i rischi per chi ha scaricato JDownloader in quei giorni

Il payload distribuito agli utenti Windows era un RAT Python-based, ovvero un trojan di accesso remoto costruito con componenti Python e confezionato in eseguibili Windows.

Questa tecnica consente agli attaccanti di ottenere controllo remoto del sistema infetto, eseguire comandi, sottrarre credenziali e installare componenti aggiuntivi. Alcuni utenti hanno segnalato publisher sospetti durante l’installazione, tra cui “Zipline LLC” e “The Water Team“, invece del publisher legittimo associato ad AppWork.

Chi ha scaricato installer di JDownloader tra il 6 e il 7 maggio 2026 dovrebbe verificare la presenza di processi Python anomali, connessioni outbound non autorizzate, nuove attività pianificate e chiavi di persistenza nel registro di Windows. In ambito enterprise è consigliabile eseguire controlli EDR e isolare eventuali host sospetti. L’attacco si inserisce in una sequenza di compromissioni che nel 2026 ha preso di mira strumenti popolari come CPU-Z, HWMonitor e DAEMON Tools, confermando una tendenza consolidata: colpire il canale di distribuzione è oggi più efficace che compromettere direttamente il codice sorgente.