Официальный сайт JDownloader несколько дней раздавал заражённые установщики для Windows и Linux. Риск касается тех, кто скачал и запустил файлы с 6 по 7 мая 2026 года через альтернативные ссылки для Windows или shell-установщик для Linux.

Разработчики подтвердили взлом сайта и временно отключили его для расследования. По данным исследователей, Windows-версия запускала Python-RAT — троян удалённого доступа, который может выполнять команды злоумышленников на заражённом компьютере.

Что произошло на сайте JDownloader

JDownloader — бесплатный менеджер загрузок, которым годами пользуются владельцы Windows, Linux и macOS. Программа помогает автоматизировать скачивание файлов с хостингов и других сайтов, поэтому многие пользователи доверяют официальной странице загрузки без дополнительных проверок.

Именно это доверие и использовали атакующие. Они изменили ссылки на сайте так, что часть пользователей получала не обычные установщики, а файлы со сторонних ресурсов. Это типичный пример атаки на цепочку поставки ПО: человек идёт на официальный сайт, но получает подменённый пакет.

Первым проблему заметил пользователь Reddit: Microsoft Defender начал помечать свежескачанные установщики как вредоносные, а в сведениях о файле вместо AppWork появлялись другие названия издателя. Позже команда JDownloader подтвердила компрометацию.

Кого затронула подмена установщиков

По информации разработчиков, опасность грозит только тем, кто скачал и запустил заражённые файлы в период с 6 по 7 мая 2026 года. Речь идёт об альтернативных установщиках Windows, доступных по ссылкам «Download Alternative Installer», и shell-установщике для Linux.

Основные каналы обновлений не пострадали. Разработчики сообщили, что встроенные обновления приложения, загрузки для macOS, пакеты Flatpak, Winget и Snap, а также основной JAR-пакет JDownloader не меняли.

Судя по отчёту команды проекта, злоумышленники не получили полный контроль над сервером. Они воспользовались незакрытой уязвимостью в системе управления сайтом, которая позволила менять права доступа и содержимое страниц без входа в учётную запись. Серверная файловая система и операционная система, по заявлению разработчиков, остались вне их контроля.

Почему заражённый установщик опаснее случайного файла

Пользователь запускает установщик с повышенным доверием: он сам скачал его с официального сайта и часто разрешает системе выполнить все действия. Из-за этого вредоносный код получает удобный момент для закрепления в системе, кражи данных или загрузки дополнительных модулей.

Исследователь Томас Клеменц изучил вредоносные Windows-файлы и описал их как загрузчик, который разворачивает сильно запутанный Python-RAT. RAT — от англ. remote access trojan, троян удалённого доступа. Такой инструмент может принимать команды с управляющих серверов и запускать на компьютере жертвы чужой код.

Linux-установщик тоже содержал вредоносные добавки. Анализ показал, что скрипт скачивал замаскированный архив, извлекал исполняемые файлы и пытался закрепиться в системе под видом легитимного системного процесса. Для обычного пользователя это почти незаметно: внешне установка могла выглядеть привычно.

Схема не ограничивается JDownloader. В последние месяцы хакеры всё чаще атакуют сайты популярных утилит и подменяют ссылки на загрузку. Пользователь может искать что угодно — от менеджера загрузок до запроса «discord web войти» или «discord login web», — а риск появляется там, где страница загрузки или рекламная ссылка ведёт не к подлинному файлу.

Как проверить скачанный файл

Команда JDownloader советует проверять цифровую подпись установщика. В Windows нужно нажать на файл правой кнопкой мыши, открыть «Свойства» и перейти на вкладку «Цифровые подписи». Подлинный установщик должен быть подписан AppWork GmbH.

Если подписи нет или в поле издателя указана другая организация, файл лучше не запускать. Срабатывание Microsoft Defender или другого защитного решения тоже нельзя игнорировать, особенно если предупреждение появилось сразу после скачивания с сайта программы.

Проверка подписи не заменяет антивирус, но быстро отсекает грубую подмену. Такой же подход полезен для любых системных утилит, архиваторов, драйверов и программ, которые пользователь скачивает вручную.

Отдельно стоит проверять сеть, из которой вы загружаете важные файлы. В кафе, гостиницах и коворкингах лучше не скачивать установщики и не входить в чувствительные аккаунты без защиты соединения; для таких сценариев подойдёт сервис безопасного интернет-соединения, который помогает снизить риск перехвата данных в публичных сетях.

Что делать, если установщик уже запускали

Разработчики JDownloader пишут, что заражённый файл мог выполнять произвольный код. Поэтому простой удаления установщика недостаточно: вредоносная программа могла закрепиться в системе, создать скрытые файлы, получить доступ к браузеру, мессенджерам, паролям и токенам.

Самый надёжный путь — сохранить важные документы на чистый носитель, полностью переустановить операционную систему и только после этого менять пароли. Если сначала сменить пароли на заражённом компьютере, злоумышленники могут перехватить новые данные.

После очистки устройства стоит обновить пароли от почты, банковских сервисов, облачных хранилищ, рабочих кабинетов и аккаунтов, где хранятся документы. Если сервис поддерживает двухфакторную защиту, её нужно включить заново и проверить резервные коды.

Похожий риск возникает не только у домашних пользователей. Для разработчиков и администраторов утечка токенов может привести к доступу к репозиториям, облакам и внутренним системам. Мы уже разбирали, как утечки ключей API и переписок превращают локальную проблему в инцидент для всей компании, в материале про уязвимость Ollama.

Практический вывод: быстрый чек-лист

  • Если вы скачивали JDownloader с 6 по 7 мая 2026 года, проверьте, какой установщик запускали.
  • В Windows откройте «Свойства» файла и убедитесь, что цифровая подпись принадлежит AppWork GmbH.
  • Если подписи нет, издатель другой или файл уже удалён, считайте компьютер потенциально заражённым.
  • Не вводите новые пароли на подозрительном устройстве.
  • Сохраните только документы и личные файлы, затем переустановите операционную систему.
  • После очистки смените пароли от почты, банков, облачных хранилищ и рабочих сервисов.
  • Включите двухфакторную защиту там, где она доступна.
  • В будущем скачивайте программы только с официальных страниц, проверяйте подпись установщика и не отключайте защиту ради запуска «подозрительно заблокированного» файла.
Поделиться: