Ancora una volta un gruppo di hacker è riuscito a mettere le mani su un programma di installazione legittimo, sostituendolo con un malware pericoloso. Stavolta è toccato a JDownloader, la nota applicazione per la gestione dei download, finita nel mirino di alcuni aggressori informatici che hanno compromesso direttamente il sito ufficiale del software. Chi ha scaricato JDownloader il 6 o il 7 maggio dovrebbe fare molta attenzione e verificare subito l’integrità del file presente sul proprio computer.
Nello specifico, l’attacco ha comportato la modifica del sito web di JDownloader e la sostituzione dei link di installazione alternativi con versioni compromesse. Un dettaglio importante: i file malevoli non hanno la firma digitale, e proprio per questo motivo SmartScreen di Windows avvisa gli utenti al momento dell’esecuzione, segnalando che qualcosa non torna. È un piccolo campanello d’allarme che può fare la differenza tra un sistema pulito e uno infetto.
La conferma dell’attacco è arrivata dagli stessi sviluppatori di JDownloader, che hanno pubblicato un post su Reddit ammettendo la compromissione. In quel messaggio hanno spiegato che il sito era stato effettivamente violato e che la pagina dei download alternativi era stata manipolata, con link e dettagli scambiati. I file legittimi, hanno precisato, sono dotati di firma digitale rilasciata da “AppWork GmbH”, mentre quelli dannosi ne sono completamente privi.
La patch e il ripristino del sito
Dopo aver confermato la violazione, il team di sviluppo si è mosso rapidamente. Il sito è stato messo offline per consentire indagini più approfondite, ed è stato successivamente ripristinato tra l’8 e il 9 maggio con link di installazione verificati e sicuri. Gli sviluppatori hanno anche applicato una patch di sicurezza e rafforzato le configurazioni del server per evitare che un attacco simile possa ripetersi.
La causa alla base di tutta la faccenda? Una vulnerabilità del CMS utilizzato dal sito, rimasta senza correzione, che permetteva agli aggressori di modificare gli elenchi di controllo degli accessi senza nemmeno doversi autenticare. In pratica, una porta spalancata che qualcuno ha deciso di attraversare.
Come verificare se il file scaricato è sicuro
Per chi ha scaricato JDownloader durante il periodo di vulnerabilità, il consiglio degli sviluppatori è piuttosto chiaro: bisogna controllare che il programma di installazione presente sul proprio dispositivo riporti la firma digitale corretta di AppWork GmbH. Se quella firma manca, significa che il file in questione è quello compromesso, quello contenente il malware. In quel caso va eliminato immediatamente e sostituito con la versione autentica, ora nuovamente disponibile sul sito ufficiale.
Questo tipo di attacco, che colpisce direttamente i canali di distribuzione ufficiali dei software, rappresenta una delle minacce più insidiose perché aggira la fiducia che gli utenti ripongono nei siti legittimi. Il fatto che SmartScreen segnali l’assenza della firma digitale è un elemento che può aiutare a intercettare il problema, ma solo se si presta attenzione agli avvisi di sicurezza anziché ignorarli. Il ripristino del sito di JDownloader e l’applicazione della patch sono stati completati, e i link attualmente presenti risultano verificati e sicuri.
