O portal oficial do popular gestor de transferências JDownloader foi alvo de um ataque informático no início desta semana. Os piratas modificaram as hiperligações do site para distribuir instaladores maliciosos para o sistema Windows e Linux, com a versão Windows a instalar um perigoso cavalo de Troia de acesso remoto (RAT) baseado em Python.
Este ataque à cadeia de fornecimento afetou exclusivamente os utilizadores que descarregaram o software entre os dias 6 e 7 de maio de 2026, especificamente através das ligações alternativas para Windows ou do instalador via terminal para Linux. Segundo a equipa de desenvolvimento, a infraestrutura principal não foi comprometida, mas os atacantes conseguiram explorar uma vulnerabilidade não corrigida no sistema de gestão de conteúdos (CMS) para desviar as transferências para servidores externos sob o seu controlo.
O JDownloader é uma das ferramentas gratuitas mais utilizadas a nível mundial para automatizar transferências de ficheiros, vídeos e geradores de links premium. Com mais de uma década de existência, acumula milhões de utilizadores em todo o mundo.
Alerta partilhado pela comunidade
O problema começou a ganhar visibilidade quando um utilizador conhecido como "PrinceOfNightSky" partilhou no Reddit que o Microsoft Defender estava a bloquear os novos executáveis descarregados do site oficial.
O utilizador notou que os ficheiros estavam assinados por entidades desconhecidas, como "Zipline LLC" ou "The Water Team", em vez da habitual AppWork, a empresa responsável pelo software. Perante o volume de queixas, os programadores retiraram o site do ar para travar a ameaça e investigar a extensão da falha.
O impacto nos computadores dos utilizadores
A investigação oficial confirmou que os atacantes não tiveram acesso ao servidor principal nem aos ficheiros do sistema operativo, limitando-se a manipular as páginas web publicadas. As atualizações internas da aplicação, as versões para macOS e os pacotes em formatos como Flatpak ou Snap permaneceram totalmente seguros.
Para verificar se um instalador descarregado é legítimo, basta clicar com o botão direito do rato no ficheiro, aceder às Propriedades e consultar o separador de Assinaturas Digitais. Se o certificado indicar "AppWork GmbH", o ficheiro é seguro; qualquer outro nome deve ser imediatamente eliminado.
Análises independentes revelaram que a versão maliciosa para Windows atua como um carregador para uma estrutura modular complexa, permitindo aos criminosos executar código arbitrário enviado a partir dos seus servidores. No caso do instalador para Linux, o guião descarregava um arquivo disfarçado de imagem SVG, que depois instalava binários maliciosos e criava mecanismos de persistência no sistema, ocultando-se como processos legítimos.
O que fazer em caso de infeção
A equipa do JDownloader sublinha que o risco existe apenas para quem executou os instaladores comprometidos durante o período crítico. Como o malware pode ter executado comandos perigosos e recolhido dados sensíveis, a recomendação mais segura para as vítimas é a reinstalação completa do sistema operativo. É também fundamental repor todas as palavras-passe importantes após a limpeza das máquinas.
Este incidente junta-se a uma vaga recente de ataques direcionados a portais de software de referência. Recorde-se que, ainda no mês passado, o site da CPUID foi manipulado para distribuir versões infetadas do CPU-Z, e no início deste mês, os instaladores do DAEMON Tools comprometidos distribuem malware através do site oficial usando um método de intrusão bastante semelhante, conforme detalhado na publicação original do BleepingComputer.
Nenhum comentário
Seja o primeiro!