Piratage du site JDownloader : malware à la place de l’installateur JDownloader a subi une attaque supply chain qui a redirigé des liens de téléchargement vers un malware pendant 48 heures.
Une attaque par chaîne d'approvisionnement a frappé le site officiel de JDownloader, distribuants des liens d'installation trompeurs et remplaçant les fichiers légitimes par un logiciel malveillant pendant environ 48 heures. Les responsables du projet assurent que les binaires et l'infrastructure restent intacts, et que seul le niveau des liens de téléchargement a été touché. Les utilisateurs ayant récupéré l'outil entre le 6 et le 7 mai sont priés d'être vigilants.
JDownloader est particulièrement populaire chez les utilisateurs appréciant le téléchargement direct, notamment pour lever certaines restrictions liées aux téléchargements gratuits. L'incident concerne le site officiel du logiciel et a été attribué à une attaque de type supply chain, où la chaîne de distribution est compromise alors que le logiciel lui-même n'est pas nécessairement altéré à la source.
Contexte et déroulé de l'incident
Selon l'équipe du projet, deux liens ont été corrompus sur la page de téléchargement : l’option « Download Alternative Installer » pour Windows et l’URL menant à l’installateur en ligne de commande pour Linux. Nos packages d’installation originaux n’ont pas été modifiés ; seuls les liens de téléchargement publiés ici pointent vers des fichiers erronés, indique un billet interne publié par l’équipe. Un
Source : next.inkprécise que les fichiers binaires restants étaient hébergés sur des serveurs externes comme d’habitude.
La chronologie fournie par JDownloader situe l’intrusion le 5 mai dans la soirée sur une page peu exposée, puis l’ajout des liens piégés sur la page principale de téléchargement le 6 mai vers 2 heures du matin, heure de Paris. La confirmation et le lancement d’une procédure de gestion d’incident ont suivi le 7 mai, après un signalement sur Reddit. Le serveur a été mis hors ligne vers 19h24 UTC et la remise en ligne s’est faite durant la nuit du 8 au 9 mai, après les nettoyages et vérifications nécessaires.
Vérifier la légitimité du fichier téléchargé
Le point d’entrée de l’intrusion semblerait être le CMS du site. En revanche, l’équipe assure que le code source de JDownloader et les mécanismes de mise à jour in-app n’ont pas été compromis, et que la sécurité côté application reste intacte. Chaque mise à jour installée via le système intégré est signée par RSA et vérifiée cryptographiquement, un canal distinct des liens manipulés sur le site web.
Pour les utilisateurs Windows, l’équipe conseille de vérifier la signature numérique du fichier téléchargé (clic droit → Propriétés → Signatures numériques). Si l’indicateur indique AppWork GmbH, le fichier peut être considéré comme légitime. L’équipe met aussi à disposition un tableau récapitulatif des différentes versions du client, avec leur taille exacte et le checksum associé pour comparer les téléchargements.
En cas d’installation d’un fichier compromis, JDownloader recommande une réinstallation complète du système et un changement des identifiants stockés localement sur la machine.
Ce que montrent les détails techniques
D’après les analyses, le fichier distribué contenait l’installeur officiel du logiciel, associé à une charge malveillante de type RAT (Remote Access Trojan) écrite en Python. Sous Linux, le comportement malveillant apparaît persistant et est dissimulé grâce à l’obfuscation Pyarmor. Ces éléments illustrent une tendance croissante : viser la chaîne d’approvisionnement plutôt que l’unique composant logiciel.
Les spécialistes soulignent que ces attaques touchent aussi bien les sites web que des composants open source populaires et les chaînes de distribution, un effet domino qui peut toucher plusieurs écosystèmes logiciels. Des précédents similaires ont été signalés autour d’outils comme Daemon Tools, Axios ou Trivy, montrant que le vecteur web peut devenir le point d’entrée d’un logiciel compromis.
Pour terminer
Cet incident rappelle que la sécurité passe par la vérification des liens et des signatures, mais aussi par une vigilance constante sur l’ensemble de la chaîne de distribution. La question demeure : jusqu’où s’étend la responsabilité du site et des éditeurs face à des attaques qui visent leur chaîne d’approvisionnement, et quelles mesures peuvent être renforcées pour éviter que des liens piégés ne succombent à nouveau aux internautes ?
