駭客入侵 JDownloader 官網,散布夾帶惡意程式的下載檔 (★ 100 分)
JDownloader 這款熱門下載管理工具的官方網站遭入侵,攻擊者利用網站未修補的安全漏洞,在超過一天的時間內把 Windows 與 Linux 下載連結換成帶有惡意程式的安裝檔。事件最早由 Reddit 使用者發現:新下載的 Windows 安裝檔遭 Windows SmartScreen(Microsoft 的下載與執行風險攔截機制)警示,簽署者也從原本預期的 AppWork 變成可疑的 Zipline LLC。JDownloader 團隊隨後確認網站遭入侵,並暫時關閉網站進行調查。
官方初步調查指出,攻擊者在 5 月 6 日修改了「備用下載頁面」,把所有備用 Windows 安裝程式連結替換成惡意、未簽章的可執行檔;Linux shell 安裝程式也被植入惡意 shell 程式碼。團隊強調,主要的 JDownloader.jar(Java Archive,Java 應用程式封裝檔)、macOS 安裝程式,以及 Winget(Windows 套件管理工具)、Flatpak、Snap(Linux 應用程式封裝格式)等來源並未受影響,因為它們使用獨立基礎設施、校驗和(checksum,用於驗證檔案完整性)與端對端數位簽章保護;應用程式內更新也未遭入侵。
這次攻擊源自網站一個未修補漏洞,讓攻擊者不需驗證即可修改 ACL(Access Control List,存取控制清單),進而取得編輯權限並替換下載連結。部分執行受感染檔案的使用者回報,惡意程式甚至停用了 Windows Defender(Microsoft 內建防毒)。文章也將此事件歸類為供應鏈式攻擊,也就是藉由可信任軟體的官方散布管道散播惡意程式;類似案例近期也發生在 CPUID 官方網站,攻擊者曾針對 CPU-Z 與 HWMonitor 下載流程動手腳,並利用偽裝檔名與惡意 DLL(Dynamic Link Library,Windows 動態連結函式庫)載入方式提高欺騙性。
Hacker News 討論補充了更多驗證與使用情境。有人指出 Reddit 使用者已將多個可疑 JDownloader 安裝檔上傳到 VirusTotal(線上惡意程式掃描服務),也有人建議比對雜湊值(hash,檔案指紋)來確認檔案是否為同一批惡意樣本。討論中不少人批評 JDownloader 長期以來的安裝體驗與信任問題,包括 Windows 安裝程式曾被質疑捆綁廣告軟體、乾淨安裝檔不易找到、官方部分程式並非完全開源等;也有人提醒,若透過 `winget install AppWork.JDownloader` 等受保護來源安裝,風險可能較低。
同時,許多使用者也解釋為何 JDownloader 至今仍有需求:它能自動處理檔案代管站的倒數計時、CAPTCHA(人機驗證)、限速、每日下載額度、分割 RAR 壓縮檔與不穩定連線,對大型檔案、飯店 Wi-Fi、遊戲模組下載或冷門檔案代管站尤其有用。整體討論一方面肯定它在特殊下載場景的實用性,另一方面也凸顯官方網站安全、安裝檔簽章與發行流程可信度的重要性;部分開發者進一步主張,軟體發行成品應採用更嚴格的簽章或多重簽章機制,避免網站遭入侵時直接變成惡意程式散布入口。
👥 26 則討論、評論 💬
https://news.ycombinator.com/item?id=48062035