Groups | Search | Server Info | Login | Register

Groups > cn.comp.hacker > #8786

[F] JDownloader 下载器遭入侵，用户被植入新型 Python 远控木马

Cross-posted to 2 groups.

Show all headers | View raw

供应链攻击事件概述
2026年5月初，全球数百万用户信赖的知名开源下载管理器 JDownloader 遭遇严重供应链攻击。攻击者暗中入侵了官方网站 jdownloader.org，将正版安装程序下载链接替换为携带全功能 Python 远程访问木马（RAT）的恶意文件。在为期两天的攻击窗口期内，任何下载了所谓"标准安装程序"的用户，都可能已在不知情的情况下将危险且具有持久性的后门程序植入其设备。
攻击技术细节
此次攻击并未篡改 JDownloader 实际软件或其应用内更新系统，而是专门针对网站下载链接实施入侵，具体包括 Windows 系统的"下载替代安装程序"选项和 Linux shell 安装程序链接。在2026年5月6日至7日期间点击这些链接的用户，接收到的文件看似正常，实则是包含分层恶意载荷的未签名封装程序。该欺骗手段极为逼真，致使许多用户绕过了 Windows SmartScreen 警告，误以为这些警报只是误报。
jdownloader.org 的研究人员和开发者在 Reddit 用户 PrinceOfNightSky 于2026年5月7日报告可疑行为后确认了入侵事件。该用户指出，下载的可执行文件被归为"Zipline LLC"和"The Water Team"等虚假发布者，而非合法开发商 AppWork GmbH。开发团队在UTC时间17:24将网站下线并展开全面调查。截至5月8日晚至9日，在清除所有恶意内容并加固服务器配置后，网站已恢复提供经过验证的安全下载链接。
恶意软件技术分析
社区研究员 Takia_Gecko 对恶意安装程序样本进行了深入技术分析，揭示了令人不寒而栗的复杂程度。假冒安装程序是一个未签名的封装程序，捆绑了真实的 JDownloader 安装程序和一个经过 XOR 加密的恶意可执行文件。该隐藏可执行文件使用 XOR 密钥"ectb"解码后，会显示一个 Windows x64 加载程序，随后该加载程序使用密钥"fywo"解密更多资源，最终解包一个受 PyArmor 8 保护的 Python 3.14 有效载荷。
最终载荷是一个用 Python 编写的完整远程访问木马框架，具有以下特征：
使用 RSA-OAEP 和 AES-GCM 加密与命令控制服务器通信
支持通过 Telegraph、Rentry、Codeberg 和洋葱地址等平台进行死投解析
使用 RC4 加密（密钥为"Chahgh4a"）解码实时 C2 URL
以 pythonw.exe 为宿主进程
允许攻击者随意推送并执行任意 Python 代码
受影响用户应对措施
jdownloader.org 给出的最关键建议是：如果您下载并运行了受影响的安装程序，请对操作系统执行全新安装。虽然杀毒软件扫描可能检测到部分威胁，但无法保证清除恶意软件可能建立的所有持久化机制。多位用户使用 Malwarebytes 和 Windows Defender Offline 进行全盘扫描后未发现任何检测结果，这表明该恶意软件能够有效隐藏其在受感染系统中的存在。
若您仍保留下载文件但尚未运行：
切勿执行该文件
右键点击文件→属性→数字签名选项卡，验证数字签名
正版 JDownloader 安装程序应由 AppWork GmbH 签名，任何未知发布者或缺失签名都是严重危险信号
在确认系统清洁前，避免从受影响设备登录敏感账户
通过其他可信设备修改所有重要密码
入侵指标(IoCs)
类型
指标
描述
SHA256
6d975c05ef7a164707fa359284a31bfe0b1681fe0319819cb9e2c4eec2a1a8af
恶意 Linux shell 安装程序 (JDownloader2Setup_unix_nojre.sh, 7,934,496 字节)
SHA256
fb1e3fe4d18927ff82cffb3f82a0b4ffb7280c85db5a8a8b6f6a1ac30a7e7ed9
恶意 Windows AMD64 安装程序 v11.0.30 (104,910,336 字节)
SHA256
04cb9f0bca6e0e4ed30bc92726590724bf60938440b3825252657d1b3af45495
恶意 Windows AMD64 安装程序 v17.0.18 (101,420,032 字节)
SHA256
5a6636ce490789d7f26aaa86e50bd65c7330f8e6a7c32418740c1d009fb12ef3
恶意 Windows AMD64 安装程序 v1.8.0.482 (61,749,248 字节)
SHA256
32891c0080442bf0a0c5658ada2c3845435b4e09b114599a516248723aad7805
恶意 Windows AMD64 安装程序 v21.0.10 (107,124,736 字节)
SHA256
de8b2bdfc61d63585329b8cfca2a012476b46387435410b995aeae5b502bd95e
恶意 Windows x86 安装程序 v11.0.29 (87,157,760 字节)
SHA256
e4a20f746b7dd19b8d9601b884e67c8166ea9676b917adea6833b695ba13de16
恶意 Windows x86 安装程序 v17.0.17 (86,576,128 字节)
SHA256
4ff7eec9e69b6008b77de1b6e5c0d18aa717f625458d80da610cb170c784e97c
恶意 Windows x86 安装程序 v1.8.0.472 (62,498,304 字节)
URL
https://parkspringshotel[.]com/m/Lu6aeloo.php
通过 RC4 密钥"Chahgh4a"解码的实时 C2 服务器 URL
URL
https://auraguest.lk/m/douV2quu[.]php
通过 RC4 密钥"Chahgh4a"解码的实时 C2 服务器 URL
注册表项
HKCU\SOFTWARE\Python
加载程序使用的持久化配置暂存位置
进程
pythonw.exe
驻留 Python RAT 有效载荷的宿主进程
XOR 密钥
ectb
用于解密封装程序资源中恶意 PE 文件的密钥
XOR 密钥
fywo
用于解密加载程序中混淆的 PyArmor 资源的密钥
RC4 密钥
Chahgh4a
用于解密死投 C2 解析器内容的密钥
虚假发布者
Zipline LLC
恶意安装程序上观察到的欺诈性代码签名发布者
虚假发布者
The Water Team
恶意安装程序上出现的第二个欺诈性发布者名称
注： 为防止意外解析或超链接，IP地址和域名已进行无害化处理（如使用[.]）。仅在MISP、VirusTotal或SIEM等受控威胁情报平台中恢复原始格式。
参考来源：
JDownloader Downloader Hacked to Infect Users With New Python RAT

[0] JDownloader Downloader Hacked to Infect Users With New Python RAT: https://cybersecuritynews.com/jdownloader-downloader-hacked/


https://www.freebuf.com/articles/endpoint/480689.html

Mon, 11 May 2026 06:48:03 +0800

--
Mobot

If you have any comments on this article, feel free to follow up. However, for feedback on the bot, please post to the cn.fan newsgroup.
BTC donation: bc1qkatj3eghdt7n28hnyv5tmd9lsdvpz94lrf5f4w

Back to cn.comp.hacker | Previous | Next | Find similar

Thread

[F] JDownloader 下载器遭入侵，用户被植入新型 Python 远控木马 Mobot <mobot@fakemail.com> - 2026-05-11 16:33 +0000

csiph-web