JDownloader 网站遭黑客攻击，安装程序被替换为 Python 远控木马

JDownloader 官网遭供应链入侵 投放带 Python 远控木马恶意安装包
近期，老牌热门下载管理器工具 JDownloader 曝出严重官网被黑事件，黑客发起供应链攻击，篡改官网下载资源链接，向 Windows、Linux 平台用户推送带毒安装程序，其中 Windows 恶意包会暗中植入基于 Python 编写的远程访问木马 RAT，威胁用户设备安全。
本次安全事故的高危感染窗口期锁定在 2026 年 5 月 6 日至 5 月 7 日。在此期间，用户若从官网通过 Windows 备用安装入口、Linux Shell 安装渠道下载程序，极易中招。
事件起因是攻击者利用官网一处未及时修复的漏洞，无需账号权限就能篡改网站访问权限列表与页面内容，通过网站内容管理系统直接篡改了公开下载链接。原本指向官方正版安装包的地址，被偷偷替换成第三方恶意资源地址。好在黑客并未拿下服务器底层权限，无法访问主机文件系统，也不能控制系统级别的核心资源。
官方明确说明，本次仅波及 Windows 备用安装程序、Linux Shell 安装程序两大渠道；软件内自动更新通道、macOS 安装包、Flatpak、Winget、Snap 等容器包，以及主程序 JAR 安装包均未被篡改，不受此次入侵影响。
事件最早由 Reddit 网友发现并曝光，该用户新装电脑后准备下载 JDownloader 最新版，打开官方网站下载安装包时，Windows Defender 直接拦截并标记文件为异常程序。他还发现，恶意安装包显示的厂商名称杂乱，出现过 Zipline LLC、The Water Team 等陌生署名，和正版开发厂商 Appwork 完全不符，察觉异常后并未贸然运行带毒程序。
事发后开发团队第一时间关停官网，开展安全溯源排查。同时给普通用户提供了鉴别正版安装包的简单方法：右键安装程序文件，打开属性界面，切换至数字签名栏目，只要签名主体为AppWork GmbH，就是官方正规安装包；若无数字签名、或签名厂商名称不符，一律不要运行安装。
官方表示自身不负责恶意样本深度分析，已公开恶意安装包存档，交由网络安全从业者研究剖析。安全研究员托马斯・克莱门茨对 Windows 恶意程序深入拆解后发现，该恶意安装包属于加载器类型，运行后会释放经过高强度混淆处理的 Python 远控木马。
这款 Python 恶意载荷具备模块化僵尸网络特性与完整远程控制框架，黑客可从 C2 命令控制服务器下发 Python 指令，在受害设备上随意执行任意操作。研究员同时曝光了黑客使用的两个 C2 服务器域名：https://parkspringshotel [.] com/m/Lu6aeloo.phphttps://auraguest [.] lk/m/douV2quu.php
官方强调，仅在 5 月 6 日 —7 日官网沦陷期间下载并运行过涉毒安装包的用户存在安全风险。由于该木马可执行任意代码、窃取本地各类账号凭证，安全专家给出建议：已中招设备直接重装系统，设备清理完成后，全网所有账号密码全部重置，防止信息被盗用。
值得注意的是，今年这类供应链攻击正呈愈演愈烈之势，黑客专门盯上大众常用的经典工具官网。4 月份硬件检测工具 CPUID 官网被攻破，CPU-Z、HWMonitor 热门工具下载链接被替换为恶意程序；本月虚拟光驱工具 DAEMONTOOLS 官网也遭入侵，被投放植入后门的木马安装包，普通用户下载开源、免费工具时需格外警惕官网下载渠道校验。