JDownloaderが侵害される：マルウェアがWindowsおよびLinuxインストーラーに1日間侵入

24時間のパニック：公式ウェブサイト Jダウンローダー 提供されました 設置者 閉じ込められた 窓 そして Linux攻撃の内容、内部に潜むRAT Python、そして何よりも重要な、あなたのマシンが動物園と化す前に何をすべきかをお伝えします。時間は限られています。5月6日午前、5月7日夜明け、そして最後です。

期待を裏付けるようなことは何もありません。オープンソースのダウンロードマネージャーのソースコード自体は影響を受けておらず、悪意のあるスクリプトによって代替ダウンロードページが置き換えられただけでした。攻撃者の手口、残された痕跡、そしてAppWorkの強力な対応について詳しく説明します。

あ 浸潤 JDownloaderショーケースにおける外科手術のような精密さ

攻撃は5月6日午前2時頃（UTC）に始まった。プロジェクトのCDNは突然、正しく署名された実行ファイル「jdownloader2_setup_latest.exe」を配信したが、Pythonローダーが同梱されていた。tar.gzファイルでも同様のことが起こった。せっかちなユーザーにとっては、ダウンロードサイズが30MB増えた以外は何も問題ないように見えた。「誰が気にするだろうか？」

起動すると、ローダーはモルドバのVPSでホストされているサーバーに接続し、モジュール式のRATをダウンロードして、%APPDATA%または~/.cacheに自身を挿入し、暗号化モードでポート61422をリッスンします。ファイアウォールはこれを完全に無視します。トラフィックはHTTPS経由で送信されるため、問題ありません。そのため、単純なウイルス対策スキャンでは何も検出されません。これは、その場で送信されるコードなのです。

しかし、公式ビルドはそのまま残っている。一夜にして塗り替えられたのはストアの方だ。プロジェクトのRedditチームは、ダウンロードページへのFTPアクセスがクレデンシャルスタッフィング攻撃によって漏洩したと主張している。露骨なゼロデイ脆弱性ではなく、使い回しのパスワード、つまり典型的な人為的ミスだ。

なぜこの攻撃が世界全体を揺るがしているのか コンピュータのセキュリティ

4月以降3度目のサプライチェーン襲撃：CPUID、DAEMON Tools、そして今度は Jダウンローダー同じパターンだ。小規模な出版社、操作された販売サイト、そして内部バイナリはそのまま残されている。これは、バックドアを使わずに盗みを働く手口だ。カスペル​​スキーの研究者たちは、CPU-Zだけでも既に150台のマシンが影響を受けていることを確認している。JDownloaderについては公式な数字は公表されていないが、月間数百万回のダウンロードが発生しているとみられる。

ドミノ効果を想像すると、思わず顔をしかめてしまう。このRATはDiscordトークン、セッションクッキー、SSHキーを収集し、45分ごとにプライベートGitLabリポジトリにすべてダンプする。セルフホスティングプロバイダーにとってどれほどの惨事になるか想像してみてほしい。そしていつものように、公式発表よりも先にMastodonで情報が漏洩する。オープンソースは急速に進化するが、情報伝達は遅れがちだ。

利用者への緊急措置 窓 そして Linux

AppWorkは遠慮なくこう言います。「システム全体を再インストールし、すべてのパスワードを変更してください。」確かに極端に聞こえるかもしれませんが、このRATはユーザー権限で実行され、スケジュールされたタスクとして登録され、設定を暗号化します。部分的な駆除では、忘れられたバックドアが残ってしまう可能性があり、不安な日々が続くでしょう。

個人ファイルのコールドバックアップ、クリーンフォーマット、そして新しいインストーラーのSHA-256検証をお勧めします。ついでに、「Arch Linuxをテストするため」に無効にしていたセキュアブートを有効にし、強力なパスフレーズでSSHキーを保護してください。そうすれば、次回は心臓発作を起こさずに済みます。

危機後の期間： サイバーセキュリティ オープンソース

私たちはもっとシンプルなハッピーエンドを望んでいました。しかし、信頼の連鎖はコードのGPG署名で終わるわけではありません。ウェブサイト、ミラー、CDNも同様に重要です。メンテナーはしばしば空き時間にインフラストラクチャをいじくり回します。体系的な二要素認証はなく、徹底的なログレビューもありません。私たちはそのやり方をよく知っています。

すでに、バイナリをGitHubリポジトリに移行し、2年間HTTPSの厳密なトランスポートセキュリティを強制することを提案している人もいます。また、Sigstoreのように、リリースごとにNotary v3を導入することを夢見ている人もいます。私はこれを称賛しますが、パスワード「Azerty123」の使い回しは絶対にやめなければならないことを皆さんに改めてお伝えしたいと思います。基本的なことですが、いずれは覚えるでしょう。

この事件が地域社会に明らかにするもの Linux そしてWindowsのパワーユーザー

.debや.msiパッケージのファンは、私を含め、中央集権型のアプリストアについて不満を言うのが大好きです。しかし、Flatpak、Scoop、あるいはWingetであれば、この落とし穴を回避できたはずです。これらのリポジトリは、インストール前にハッシュ値を検証するからです。つまり、監査可能な状態であれば、フリーソフトウェアの支持者でありながら、アプリストアのような機能の恩恵を受けることができるということです。

今回の攻撃は、コミュニティの口コミの力も証明している。Hacker Newsとコミットログを常に監視していなければ、警告は1週間も続いただろう。最終的に事態を救ったのは、情熱と警戒心の組み合わせだった。華やかさはないが、驚くほど効果的だった！

タブを閉じる前に、最後にもう一度お知らせします。

ダウンロードした場合 Jダウンローダー 5月6日から7日の間は、ロシアンルーレットのような危険な行為は避けてください。フォーマットしてリセットし、バックアップを再度確認してください。 マルウェア 巧妙な手口で、何の警告もなくあなたの秘密を盗み取ります。今すぐ対策を講じ、次の格言を心に留めておきましょう。「クリック数が多いほど、確認が不十分な場合、必ずハッキングされる。」

ソース： www.clubic.com