JDownloader hackerato: gli installer scaricati questa settimana installavano un trojan
Il sito ufficiale di JDownloader è stato hackerato: gli installer Windows e Linux erano infetti tra il 6 e il 7 maggio.
Segui Mente Informatica su Telegram
Offerte Amazon e notizie tech ogni giorno.
Se hai scaricato JDownloader tra il 6 e il 7 maggio 2026 dal sito ufficiale, il tuo PC potrebbe avere un trojan. Non è una storia di phishing generica: il sito ufficiale del popolare download manager è stato compromesso e gli installer sostituiti con malware vero, un RAT scritto in Python.
Cosa è successo esattamente al sito di JDownloader
Gli attaccanti hanno sfruttato una vulnerabilità non corretta nel CMS del sito per modificare i link di download senza nemmeno autenticarsi al server sottostante. Roba da manuale dell’attacco supply chain: tocci il punto di distribuzione, non il software in sé.
I link coinvolti sono stati il “Download Alternative Installer” per Windows e il Linux shell installer. Gli aggiornamenti in-app, i pacchetti macOS, Flatpak, Winget, Snap e il JAR principale di JDownloader non sono stati toccati.
È stato un utente su Reddit, “PrinceOfNightSky”, ad accorgersi per primo che Microsoft Defender segnalava i file come malevoli e che il publisher indicato era “Zipline LLC” o “The Water Team” invece del legittimo “AppWork GmbH”.
⚠️ Attenzione: Se hai scaricato JDownloader tra il 6 e il 7 maggio 2026 tramite il sito ufficiale su Windows o Linux, verifica subito il file: tasto destro → Proprietà → Firme digitali. Se non c’è la firma “AppWork GmbH” o c’è un altro nome, non eseguirlo e scansiona il sistema con un buon antivirus gratuito.
Il malware: un RAT Python modulare, non un ransomware improvvisato
Il ricercatore di cybersecurity Thomas Klemenc ha analizzato gli eseguibili Windows malevoli e ha scoperto che agiscono come loader per un RAT basato su Python, pesantemente offuscato. Il payload funziona come un framework bot modulare: permette agli attaccanti di eseguire codice Python arbitrario inviato dai server C2 in tempo reale.
I due server di comando e controllo identificati sono parkspringshotel[.]com e auraguest[.]lk. Un RAT modulare di questo tipo è particolarmente insidioso perché le sue funzionalità non sono fisse: gli attaccanti possono aggiungere o cambiare capacità da remoto.
Furto di credenziali, keylogging, accesso ai file, tutto è tecnicamente possibile.
📌 Da sapere: JDownloader è usato da milioni di persone nel mondo da oltre un decennio, spesso da chi scarica da siti di file hosting o generatori di link premium. È un target appetibile proprio perché il suo pubblico è tecnicamente attivo e probabilmente ha accesso a contenuti o account di valore.
Perché questo attacco è più serio del solito
💡 L’analisi: Un attacco supply chain su un sito ufficiale è molto più difficile da intercettare rispetto a un falso installer su un sito pirata. Chi ha scaricato da jdownloader.org si sentiva al sicuro, e proprio su questa fiducia hanno fatto leva gli attaccanti.
Il team di JDownloader ha pubblicato un report sull’incidente e ha messo offline il sito durante le indagini. Ha anche rilasciato un archivio degli installer malevoli per permettere ad altri ricercatori di analizzarli.
La trasparenza è apprezzabile, ma il danno per chi ha già eseguito quei file è fatto.
Personalmente trovo che il vero problema qui sia strutturale: troppi software gratuiti e affidabili hanno infrastrutture di distribuzione che non reggono a un attacco mirato. JDownloader è usato da milioni di persone, eppure bastava una vulnerabilità nel CMS per riscrivere i link di download.
È una lezione che l’intero ecosistema open source e freeware dovrebbe imparare, non solo AppWork.
Stay tech 🦾
È piaciuto? Non perdere i prossimi
Seguici su Telegram per notizie e offerte Amazon.
Cerchi Claude per Mac su Google? Il primo risultato ti installa un malware
Ransomware Sorry colpisce 44.000 server Linux: la falla cPanel è devastante
