Popüler JDownloader indirme yöneticisinin web sitesi, bu hafta başında kötü niyetli Windows ve Linux yükleyicileri dağıtmak için ele geçirildi. Windows yüklemesi, Python tabanlı bir uzaktan erişim trojanı (RAT) dağıtmakta olduğu tespit edildi.
JDownloader Tedarik Zinciri Saldırısı
Olay, Reddit kullanıcısı “PrinceOfNightSky” tarafından bildirildi. Kullanıcı, indirdiği yükleyicilerin Microsoft Defender tarafından tehlikeli olarak işaretlendiğini fark etti.
JDownloader geliştiricileri, sonradan sitenin ele geçirildiğini kabul ederek, durumu araştırmak için web sitesini kapattı. Bir olay raporunda, saldırganların kimlik doğrulama olmaksızın web sitesi erişim kontrol listesini ve içeriğini değiştiren yamalanmamış bir güvenlik açığını kullandıklarını belirttiler.
Geliştiriciler, ele geçirme olayının yalnızca alternatif Windows yükleyici indirme bağlantılarını ve Linux kabuk yükleyici bağlantısını etkilediğini vurguladılar. Uygulama içi güncellemeler, macOS indirmeleri ve diğer paketlerin etkilenmediği belirtildi.
Etkilenen Sistemler
- Windows için alternatif yükleyiciler (6-7 Mayıs 2026 tarihleri arasında indirilenler)
- Linux kabuk yükleyici
- Diğer sistemlerdeki JDownloader güncellemeleri ve yüklemeleri etkilenmedi.
Malware Analizi
Siber güvenlik araştırmacısı Thomas Klemenc, kötü niyetli Windows yürütücü dosyalarını analiz ederek zararlı yazılım için indikatorler (IOC) paylaştı. Zararlı yazılım, komut ve kontrol sunucularından gelen Python tabanlı bir RAT yükleyicisi olarak işlev görüyor.
- Komut ve Kontrol Sunucuları:
- https://parkspringshotel[.]com/m/Lu6aeloo.php
- https://auraguest[.]lk/m/douV2quu.php
Çözüm ve Korunma
Kullanıcıların, indirdikleri yükleyicilerin meşruluğunu teyit etmek için dosyaya sağ tıklayıp Özellikler seçeneğini, ardından Dijital İmza sekmesini kontrol etmeleri önerilmektedir. Eğer İmza bilgileri “AppWork GmbH” tarafından imzalanmış ise meşrudur; aksi takdirde indirme yapılmamalıdır.
Ele geçirilen yükleyicileri indiren kullanıcıların, sistemdeki etkileri minimize etmek için aşağıdaki adımları izlemeleri şiddetle tavsiye edilmektedir:
- İşletim Sistemi Yeniden Yükleme: Kötü niyetli yazılımın sistemde tam yetki ile çalışabileceğinden, işletim sisteminin tamamen yeniden yüklenmesi önerilir.
- Parola Sıfırlama: Kötü niyetli yazılımın sahip olduğu erişimler nedeniyle tüm hesap parolalarının sıfırlanması gerektiği önerilmektedir.
Sonuç olarak, JDownloader gibi popüler yazılımların web siteleri hedef alınarak zararlı yazılım dağıtımı yapılmakta; bu nedenle kullanıcıların dikkatli olmaları ve düzenli güncellemeler yapmaları kritik önem taşımaktadır.
