热门下载管理器 JDownloader 官方网站于 5 月 6 日遭攻击者入侵,被替换为含恶意代码的 Windows 与 Linux 安装包,持续时间超过一天方被发现。事件曝光源于 Reddit 一名用户发帖指出,新下载的 JDownloader 安装包被 Windows SmartScreen 标记为可疑,且数字签名发行商显示为陌生的"Zipline LLC"而非官方的"AppWork"。该帖迅速引发关注,项目开发者介入确认遭攻破。JDownloader 团队调查指出,攻击者利用网站一个未修复的安全漏洞,在未经认证的情况下修改了访问控制列表(ACL),随后将替代下载页面上的官方链接替换为恶意文件。已感染用户反映,恶意程序可彻底关闭 Windows Defender,后续危害严重。
此案并非孤立事件——今年以来官方软件网站供应链攻击持续高发:1 月 eScan、2 月 Notepad++(替换安装包)、4 月 CPUID(CPU-Z / HWMonitor 官网被植入含恶意 DLL 的安装包,感染后窃取浏览器凭据)、5 月初 DAEMON Tools(官方安装包被植入后门,4 月 8 日至 5 月 5 日间数千次恶意载荷部署被卡巴斯基检测到)。卡巴斯基研究员评论称:"我们在 2026 年头四个月已相继调查 eScan、Notepad++、CPU-Z 和 DAEMON Tools——供应链攻击的频率令人担忧。"使用上述软件的用户应立即核查安装来源并重新下载官方最新版本。
Neowin | The Hacker News