Un attacco alla supply chain ha colpito il sito ufficiale di JDownloader tra il 6 e il 7 maggio 2026, trasformando alcuni installer legittimi in vettori di malware. Per chi non lo conoscesse, JDownloader è uno dei download manager più utilizzati al mondo: milioni di persone lo usano ogni giorno per automatizzare i download da piattaforme video, servizi di file hosting e account premium. Quello che è successo, però, ha messo in allarme l’intera comunità di utenti.
La cosa curiosa è che a scoprire il problema non è stata una grande azienda di sicurezza informatica, ma un utente su Reddit. Aveva semplicemente notato che Microsoft Defender segnalava come pericolosi gli installer scaricati direttamente dal sito ufficiale di JDownloader. Una cosa che non dovrebbe mai succedere, ovviamente. Gli sviluppatori hanno poi confermato tutto e hanno portato offline il portale per avviare le operazioni di contenimento.
Come è stato possibile questo attacco a JDownloader
Gli aggressori hanno sfruttato una vulnerabilità nel sistema di gestione del sito per modificare contenuti e permessi di accesso senza alcuna autenticazione valida. Va chiarito un punto importante: il codice sorgente di JDownloader non è stato toccato. La manipolazione ha riguardato esclusivamente i link di download presenti nelle pagine ufficiali. In pratica, i file legittimi sono stati sostituiti con payload ospitati su infrastrutture esterne. Nello specifico, a essere compromessi sono stati il link “Download Alternative Installer” per Windows e uno shell installer pensato per distribuzioni Linux.
Chi aveva già JDownloader installato sul proprio dispositivo può stare relativamente tranquillo: gli aggiornamenti interni dell’applicazione e le installazioni preesistenti non risultano coinvolti. Il problema ha riguardato solo chi ha effettuato un nuovo download in quelle ore specifiche. E qui sta l’aspetto più subdolo della vicenda: dato che i file venivano scaricati dal dominio ufficiale, nessun browser mostrava avvisi di sicurezza. Per l’utente medio, tutto sembrava perfettamente normale.
Il malware distribuito e cosa fare adesso
Il payload che veniva distribuito agli utenti Windows era un RAT, ovvero un trojan di accesso remoto, costruito con componenti Python e confezionato in eseguibili Windows. Questo tipo di malware consente a chi attacca di ottenere il controllo remoto del sistema infetto, eseguire comandi arbitrari, sottrarre credenziali e installare ulteriori componenti dannosi. Alcuni utenti hanno anche segnalato publisher sospetti durante la fase di installazione, tra cui nomi come “Zipline LLC” e “The Water Team”, che non hanno nulla a che vedere con AppWork, lo sviluppatore legittimo del software.
Chi ha scaricato installer di JDownloader tra il 6 e il 7 maggio 2026 dovrebbe verificare con attenzione la presenza di processi Python anomali sul proprio sistema, controllare eventuali connessioni in uscita non autorizzate, nuove attività pianificate e chiavi di persistenza nel registro di Windows. Per chi opera in ambito aziendale, è consigliabile eseguire controlli tramite soluzioni EDR e isolare gli host che risultano sospetti.
Questo attacco a JDownloader non è un caso isolato. Nel corso del 2026 sono stati presi di mira anche strumenti molto popolari come CPU-Z, HWMonitor e DAEMON Tools, seguendo tutti lo stesso schema. La tendenza ormai è chiara: colpire il canale di distribuzione del software si sta rivelando più efficace che compromettere direttamente il codice sorgente.
