){kind=small}
)
O site oficial do JDownloader, um dos gerenciadores de downloads mais populares do mundo, foi comprometido por hackers entre os dias 6 e 7 de maio de 2026. Os atacantes trocaram links de download legítimos por arquivos maliciosos, afetando usuários de Windows e Linux que baixaram instaladores do site durante esse período.
Os criminosos não precisaram invadir o servidor do JDownloader para realizar o ataque. Eles exploraram uma falha de segurança não corrigida no sistema de gerenciamento de conteúdo do site, o CMS, que é basicamente o painel usado para editar páginas e publicar conteúdo.
Nossos vídeos em destaque
A vulnerabilidade permitia que qualquer pessoa alterasse as permissões de acesso do site sem precisar de uma senha. Com isso, os hackers conseguiram editar os links de download e apontar para arquivos maliciosos hospedados em outros servidores. Os desenvolvedores do JDownloader confirmaram que o atacante não teve acesso ao servidor em si, apenas ao painel de gerenciamento do site. Dados pessoais de usuários também não foram acessados.
)
Apenas alguns tipos de instalador foram comprometidos
Nem todos os downloads foram afetados. No Windows, apenas os links chamados "Download Alternative Installer" foram substituídos pelos maliciosos. No Linux, o instalador via script shell também foi comprometido.
Quem baixou o programa pelo macOS, por pacotes Flatpak, Winget ou Snap, ou ainda pelo arquivo principal JDownloader.jar, não correu risco. As atualizações feitas dentro do próprio programa também estavam seguras, pois usam uma infraestrutura separada com verificação de assinatura digital.
)
O que os arquivos maliciosos faziam no Windows
No Windows, o instalador falso funcionava como um loader. Ou seja, ele servia de porta de entrada para um malware mais sofisticado instalado em seguida. O payload final era um RAT escrito em Python, sigla para Trojan de Acesso Remoto. Basicamente, esse programa dá ao atacante controle remoto sobre o computador da vítima. O malware se conectava a servidores de comando e controle para receber e executar instruções à distância.
O pesquisador de segurança Thomas Klemenc analisou os arquivos maliciosos e identificou dois servidores usados pelo malware para comunicação remota. Ele também publicou indicadores de comprometimento para ajudar outras equipes de segurança a identificar infecções.
)
O que o instalador malicioso fazia no Linux
No Linux, o script shell comprometido baixava um arquivo disfarçado de imagem SVG a partir de um servidor externo. Dentro desse arquivo havia dois binários escondidos. Um deles era instalado com permissões elevadas de root, o nível mais alto de acesso em sistemas Linux.
O malware criava um mecanismo de persistência no sistema e se mascarava como um processo legítimo do sistema operacional para dificultar a detecção. O payload também estava fortemente ofuscado com uma ferramenta chamada Pyarmor, o que dificultou a análise completa do que ele fazia após a infecção.
Usuário do Reddit foi o primeiro a perceber
O problema foi identificado por um usuário do Reddit chamado PrinceOfNightSky. Ele estava configurando um computador novo e decidiu baixar a versão mais recente do JDownloader diretamente do site oficial.
)
O Microsoft Defender sinalizou o instalador como malicioso. Além disso, o arquivo mostrava como desenvolvedor os nomes "Zipline LLC" e "The Water Team", que não têm nenhuma relação com a AppWork, empresa responsável pelo JDownloader.
O usuário reportou a situação, e os desenvolvedores confirmaram o comprometimento poucas horas depois. O site foi tirado do ar às 14h24, no horário de Brasília, do dia 7 de maio para investigação e contenção do incidente.
Site voltou ao ar após correção
Os desenvolvedores trabalharam durante a madrugada do dia 8 de maio para corrigir a vulnerabilidade, restaurar os links legítimos a partir de backups e endurecer as configurações do servidor. O site ficou completamente fora do ar até que todas as verificações fossem concluídas.
)
Na noite do dia 8 para o 9 de maio, o JDownloader voltou a operar normalmente, com os links verificados e a falha corrigida. Os desenvolvedores também publicaram uma notificação na página inicial e no fórum oficial explicando o incidente e orientando usuários que possam ter sido afetados.
Ataques desse tipo, em que hackers comprometem sites legítimos para distribuir malware, têm se tornado cada vez mais frequentes. Em abril de 2026, o site da CPUID foi comprometido da mesma forma, com links para os populares CPU-Z e HWMonitor sendo substituídos por executáveis maliciosos. Semanas antes, o site do DAEMON Tools também foi alvo de um ataque similar.
Como saber se você foi afetado
Quem baixou um instalador do site entre os dias 6 e 7 de maio de 2026 pode verificar se o arquivo é legítimo. No Windows, basta clicar com o botão direito no arquivo, abrir Propriedades e acessar a aba Assinaturas Digitais.
Se o arquivo for legítimo, a assinatura vai mostrar o nome "AppWork GmbH". Se não houver assinatura, ou se aparecer outro nome, o arquivo é malicioso e não deve ser executado.
O que fazer se você instalou o arquivo comprometido
Os desenvolvedores do JDownloader recomendam que quem executou um dos instaladores maliciosos reinstale o sistema operacional. Como o malware pode ter executado código arbitrário na máquina, não há garantia de que uma simples desinstalação resolve o problema.
Também é fortemente recomendado trocar todas as senhas usadas no dispositivo afetado, já que credenciais podem ter sido capturadas pelo malware durante o período de infecção.
Acompanhe o TecMundo nas redes sociais. Inscreva-se em nossa newsletter e canal do YouTube.
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
)
