JDownloader compromis : un malware infiltré dans les installeurs Windows et Linux pendant une journée

24 heures de panique : le site officiel de JDownloader a servi des installeurs piégés pour Windows et Linux. Je te raconte l’attaque, le RAT Python planqué dedans, et surtout ce qu’il faut faire avant que ta machine devienne un zoo. La chronologie est serrée : 6 mai au matin, 7 mai à l’aube, puis rideau.

Pas de faux suspense. Le gestionnaire de téléchargements open source n’a pas été touché dans son code source : c’est la page d’alternative download qui a été remplacée par un script vicieux. Je détaille la manœuvre, les indices laissés par l’attaquant, et la réaction musclée d’AppWork.

Une infiltration chirurgicale sur la vitrine de JDownloader

L’attaque démarre le 6 mai vers 02 h 00 UTC. Le CDN du projet sert soudain un exécutable « jdownloader2_setup_latest.exe » signé correctement mais emballé avec un loader Python. Même scène côté tar.gz. Rien ne cloche pour l’utilisateur pressé, à part 30 Mo de plus au compteur : qui compte ?

Une fois lancé, le loader appelle un serveur hébergé chez un VPS moldave, télécharge un RAT modulaire, se colle dans %APPDATA% ou ~/.cache, puis écoute sur le port 61422 en chiffré. Silence radio pour le pare-feu : le flux sort en HTTPS, tranquille. Voilà pourquoi un simple scan antivir ne détecte rien, c’est du code à la volée.

Le build officiel, lui, reste sain. C’est la boutique qui a été repeinte pendant la nuit. L’équipe Reddit du projet affirme que l’accès FTP de la page de téléchargement a fuité après une campagne de credential stuffing. Pas de Zero-Day flamboyant, juste un mot de passe recyclé : la boulette humaine classique.

Pourquoi cette attaque secoue toute la sécurité informatique

Troisième embuscade supply-chain depuis avril : CPUID, DAEMON Tools, et maintenant JDownloader. Même pattern : un éditeur modeste, une vitrine trafiquée, les binaires internes préservés. C’est du braquage sans forcer la porte arrière. Les chercheurs Kaspersky comptent déjà 150 machines touchées rien que pour CPU-Z ; aucun chiffre public pour JDownloader, mais on parle de millions de téléchargements mensuels.

Je grimace en évoquant l’effet domino. Le RAT récupère tokens Discord, cookies de session, clés SSH, et file le tout sur un repo GitLab privé toutes les 45 minutes. Imagine le désastre chez les auto-hébergeurs. Et comme d’hab, la révélation arrive sur Mastodon avant tout communiqué officiel : l’open source va vite, la com’ moins.

Mesures d’urgence pour les utilisateurs Windows et Linux

AppWork ne mâche pas ses mots : « réinstallez le système complet et changez tous vos mots de passe ». Oui, ça sonne extrême, mais le RAT tourne avec les privilèges de l’utilisateur, se met en tâche planifiée et chiffre sa config. Une désinfection partielle laisserait toujours une backdoor oubliée, et tu dormiras mal.

Je conseille une sauvegarde froide des fichiers persos, un formatage propre puis une vérif SHA-256 du nouvel installeur. Tant qu’à faire, active Secure Boot si tu l’avais désactivé « pour tester Arch » et cloisonne tes clés SSH avec une passphrase costaud, on évitera la crise cardiaque prochaine fois.

L’après-crise : renforcer la cybersécurité open source

On aurait aimé un happy end plus simple. Sauf que la chaîne de confiance ne s’arrête pas à la signature GPG du code : le site, le miroir, le CDN comptent tout autant. Les mainteneurs bricolent souvent l’infra sur leur temps libre : pas de double authent’ systématique, pas de revue de logs fine, on connaît la chanson.

Certains proposent déjà de déporter les binaires sur le dépôt GitHub et d’imposer le HTTPS strict-transport-security à deux ans. D’autres rêvent d’un Notary v3 pour chaque release, façon Sigstore. J’applaudis, mais je rappelle qu’il faut surtout arrêter de recycler le mot de passe « Azerty123 ». Basique, mais on finira bien par l’apprendre.

Ce que révèle l’affaire pour la communauté Linux et Windows power-users

Les fans de paquets .deb ou .msi aiment râler sur les stores centralisés, moi le premier. Pourtant, ici, Flatpak, Scoop ou même Winget auraient évité le piège : ces dépôts vérifient le hash avant l’install. Moralité : on peut rester libriste et tirer profit d’un peu d’App Store-isation, tant que ça reste auditable.

Cette attaque montre aussi la puissance du bouche-à-oreille communautaire. Sans la veille permanente sur Hacker News et le commit log, l’alerte aurait duré une semaine. Finalement, c’est le mélange passion + parano qui sauve la mise. Pas glamour, mais diablement efficace !

Dernier rappel avant de fermer l’onglet

Si tu as téléchargé JDownloader entre le 6 et le 7 mai, ne joue pas à la roulette russe. Formate, réinitialise, puis vérifie deux fois tes sauvegardes. Le malware est sournois, il n’offre aucun signe visible avant de siphonner tes secrets. Agis maintenant, et garde cette maxime en tête : « beaucoup de clicks, peu de checks, ça finit toujours en hacks ».

Source: www.clubic.com