Piraté, le site de JDownloader a distribué un malware au lieu du fichier d’installation

Raccoon

Victime d’un piratage, le site officiel de JDownloader a pendant 48 heures distribué un malware en lieu et place du fichier d’installation proposé pour Windows et Linux. L’équipe en charge du projet affirme que seuls les liens de téléchargement ont été modifiés : les binaires du logiciel et l’infrastructure sous-jacente n’auraient pas été touchés. Les internautes ayant téléchargé l’utilitaire entre le 6 et le 7 mai sont toutefois invités à la prudence.

Très populaire chez les adeptes du « direct download », du fait de sa capacité à lever les restrictions sur les téléchargements gratuits, l’utilitaire JDownloader a été victime d’un incident de sécurité les 6 et 7 mai dernier. C’est plus précisément le site officiel du logiciel qui a été affecté par une attaque de type supply chain (chaîne d’approvisionnement) : pendant 48 heures environ, certains des liens de téléchargement affichés sur le site ont pointé vers un malware et non vers les binaires légitimes du client.

Des liens modifiés au niveau du CMS

L’équipe en charge du projet indique que deux liens ont été affectés : l’option « Download Alternative Installer » proposée pour Windows, et l’URL pointant vers l’installateur en ligne de commande pour Linux. « Nos packages d’installation originaux n’ont pas été modifiés ; seuls les liens de téléchargement publiés ici pointent vers des fichiers erronés. Les fichiers binaires de l’installateur restent hébergés sur des serveurs externes, comme d’habitude », promet JDownloader dans un billet dédié.

L’incident y est retracé de façon chronologique. D’après l’équipe, les assaillants auraient d’abord procédé à une première modification sur une page peu exposée du site, le 5 mai dans la soirée, avant d’insérer les deux liens piégés sur la page principale dédiée au téléchargement, le 6 mai aux alentours de deux heures du matin (heure de Paris).

Les auteurs du projet ont sonné le branle-bas de combat le 7 mai vers 19 heures, suite à l’alerte lancée par un internaute sur Reddit. « Des téléchargements suspects et des alertes ont été détectés ; le problème a été confirmé et une procédure de gestion d’incident a été lancée. Le serveur a été arrêté à 17h24 UTC [19h24 heure de Paris] », décrit-elle. Le site est ensuite resté hors ligne à des fins de nettoyage et de contrôle, jusqu’à sa remise en route dans la nuit du 8 au 9 mai.

Vérifier la légitimité du fichier téléchargé

C’est au niveau du CMS (gestionnaire de contenus, le « moteur » du site Web) que serait intervenue l’intrusion. Le code de JDownloader, et les mécaniques de mise à jour « in-app » n’ont de ce fait pas été affectées, assure l’équipe : « Chaque mise à jour installée via le système intégré de l’application est signée par RSA et vérifiée par cryptographie. Ce canal est indépendant des liens de téléchargement du site web qui ont été manipulés. »

…

Suite de l’article : next.ink

Magissia

Oh wow.

Mister158

Euh… J’ai mis à jour hier soir c’est grave docteur ?

vini

@Mister158

A priori, non, je cite :
Le code de JDownloader, et les mécaniques de mise à jour « in-app » n’ont de ce fait pas été affectées, assure l’équipe : « Chaque mise à jour installée via le système intégré de l’application est signée par RSA et vérifiée par cryptographie. Ce canal est indépendant des liens de téléchargement du site web qui ont été manipulés. »

Cela n’empêche pas de rester prudent …

Raccoon

@Mister158 le risque concerne ceux qui ont téléchargé le soft entre le 6 et le 7 mai.

Mister158

Et les amis vous êtes mignons je sais lire et dans ce cas je me relu deux fois.

J’ai juste voulu faire une joke qui est tombé à plat lol

Aerya

Une faille non divulguée aurait permis de modifier les ACL (https://www.dokuwiki.org/fr:acl) pour remplacer les liens de DL d’après cet article :
https://www.computerbase.de/news/apps/manipulierte-downloads-website-von-jdownloader-kompromittiert-und-derzeit-offline.97262/