O site oficial do JDownloader, gerenciador de downloads utilizado por milhões de usuários, foi alvo de um ataque entre os dias 6 e 7 de maio de 2026. Criminosos exploraram uma vulnerabilidade não corrigida no sistema de gerenciamento de conteúdo (CMS) do portal para alterar os links de download originais por versões maliciosas. O ataque afetou especificamente o “Download Alternative Installer” para Windows e o instalador via terminal (shell) para Linux.
A carga maliciosa para Windows instala um carregador que implanta um troia de acesso remoto (RAT) baseado em Python. Segundo o pesquisador Thomas Klemenc, o malware utiliza ofuscação pesada e funciona como uma estrutura modular de bot, capaz de executar códigos enviados por servidores de comando e controle (C2). Para o usuário que baixou o arquivo nesses dois dias, o primeiro sinal de alerta foi a assinatura digital: enquanto os instaladores legítimos são assinados pela “AppWork GmbH”, as versões infectadas traziam nomes como “Zipline LLC” ou “The Water Team”.
No Linux, o instalador shell injetava um código que baixava um arquivo disfarçado de imagem vetorial (SVG) do domínio checkinnhotels[.]com. Após a extração, o script instalava binários ocultos e criava um executável com permissões de administrador (SUID-root) em /usr/bin/, garantindo persistência no sistema através de scripts de inicialização em /etc/profile.d/. (Versões para macOS, Flatpak, Winget e Snap não foram afetadas pela invasão). Se o software foi executado, o invasor obteve controle total sobre o sistema operacional, permitindo o monitoramento de atividades e o roubo de credenciais.
A recomendação dos desenvolvedores e de especialistas em segurança para os infectados é a reinstalação completa do sistema operacional. Como o malware permite a execução de código arbitrário, a simples remoção do arquivo não garante a limpeza de todos os módulos que podem ter sido espalhados pela rede local. O incidente com o JDownloader soma-se aos ataques recentes contra os sites do CPU-Z e DAEMON Tools, confirmando uma tendência de 2026 em que grupos de hackers priorizam o sequestro de portais de ferramentas populares para atingir uma base de usuários já estabelecida.
