{"id":672269,"date":"2026-05-12T13:15:00","date_gmt":"2026-05-12T16:15:00","guid":{"rendered":"https:\/\/www.portaltela.com\/noticias\/2026\/05\/12\/site-do-jdownloader-e-hackeado-para-distribuir-malware-em-windows-e-linux\/"},"modified":"2026-05-12T13:15:00","modified_gmt":"2026-05-12T16:15:00","slug":"site-do-jdownloader-e-hackeado-para-distribuir-malware-em-windows-e-linux","status":"publish","type":"post","link":"https:\/\/www.portaltela.com\/noticias\/ciencia\/2026\/05\/12\/site-do-jdownloader-e-hackeado-para-distribuir-malware-em-windows-e-linux\/","title":{"rendered":"Site do JDownloader \u00e9 hackeado para distribuir malware em Windows e Linux"},"content":{"rendered":"<p>O site oficial do JDownloader foi alvo de hackers entre 6 e 7 de maio de 2026. Links de download leg\u00edtimos foram trocados por instaladores maliciosos que afetaram usu\u00e1rios de Windows e Linux. A invas\u00e3o ocorreu sem acesso direto ao servidor, apenas ao painel de gerenciamento de conte\u00fado CMS.<\/p>\n<p>Os atacantes exploraram uma falha n\u00e3o corrigida no CMS, permitindo editar permiss\u00f5es de acesso sem senha. Assim, eles apontaram os links para arquivos hospedados em outros servidores, sem comprometer o servidor em si. Dados de usu\u00e1rios n\u00e3o foram acessados.<\/p>\n<p>A vulnerabilidade permitiu que qualquer pessoa alterasse os links de download. Desenvolvedores do JDownloader confirmaram que o painel foi comprometido, mas o servidor permaneceu intacto. A investiga\u00e7\u00e3o aponta que n\u00e3o houve exfiltra\u00e7\u00e3o de informa\u00e7\u00f5es pessoais.<\/p>\n<h3>Impacto por plataforma<\/h3>\n<p>No Windows, apenas o link \u201cDownload Alternative Installer\u201d foi substitu\u00eddo. O Linux teve o script shell comprometido. Pacotes para macOS, Flatpak, Winget, Snap e o arquivo JDownloader.jar permaneceram seguros. Atualiza\u00e7\u00f5es internas do programa estavam protegidas por assinatura digital.<\/p>\n<p>Trechos do script shell comprometido revelam c\u00f3digo que baixa bin\u00e1rios maliciosos disfar\u00e7ados de SVG e os instala com privil\u00e9gios de root. O modo de persist\u00eancia dificulta a detec\u00e7\u00e3o.<\/p>\n<h3>O que os maliciosos faziam<\/h3>\n<p>No Windows, o instalador falso funcionava como loader e dava acesso remoto por meio de um RAT em Python. Servidores de comando e controle recebiam instru\u00e7\u00f5es \u00e0 dist\u00e2ncia. Especialistas identificaram dois servidores usados para comunica\u00e7\u00e3o.<\/p>\n<p>No Linux, o script comprometido baixava um SVG que continha dois bin\u00e1rios encobertos. Um deles obtinha permiss\u00f5es de root e criava persist\u00eancia, mascarando-se como processo do sistema. O payload estava ofuscado para dificultar a an\u00e1lise.<\/p>\n<h3>Descoberta e resposta<\/h3>\n<p>Um usu\u00e1rio do Reddit, PrinceOfNightSky, percebeu a sinaliza\u00e7\u00e3o de malware pelo Windows Defender ao baixar a vers\u00e3o recente do site oficial. A equipe do JDownloader confirmou o ataque poucas horas depois. O site ficou fora do ar \u00e0s 14h24 (hor\u00e1rio de Bras\u00edlia) de 7 de maio para conten\u00e7\u00e3o.<\/p>\n<p>A corre\u00e7\u00e3o ocorreu durante a madrugada de 8 para 9 de maio. Backups foram usados para restaurar links leg\u00edtimos e refor\u00e7ar configura\u00e7\u00f5es. O site voltou a operar ap\u00f3s as verifica\u00e7\u00f5es de seguran\u00e7a. Credenciais podem ter sido comprometidas; recomenda-se troca de senhas.<\/p>\n<h3>Orienta\u00e7\u00f5es aos usu\u00e1rios<\/h3>\n<p>Quem baixou instaladores entre 6 e 7 de maio deve verificar a assinatura digital do arquivo. Assinaturas v\u00e1lidas exibem AppWork GmbH; qualquer outra indica\u00e7\u00e3o \u00e9 compat\u00edvel com malware. Evite executar arquivos n\u00e3o confirmados.<\/p>\n<p>Quem j\u00e1 executou o arquivo comprometido deve reinstalar o sistema operacional e trocar senhas. O objetivo \u00e9 mitigar riscos, j\u00e1 que o malware pode ter executado c\u00f3digo arbitr\u00e1rio na m\u00e1quina.<\/p>\n","protected":false},"excerpt":{"rendered":"<ul>\n<li>Hackers comprometeram o site oficial do JDownloader entre 6 e 7 de maio de 2026, trocando links de download por instaladores maliciosos para Windows e Linux.<\/li>\n<li>N\u00e3o houve acesso ao servidor, apenas ao painel de gerenciamento de conte\u00fado; dados pessoais de usu\u00e1rios n\u00e3o foram acessados.<\/li>\n<li>No Windows, o instalador falso atuava como loader para um Trojan de Acesso Remoto; no Linux, o script shell comprometido instalava bin\u00e1rios com privil\u00e9gios de root e criava persist\u00eancia.<\/li>\n<li>Usu\u00e1rios perceberam o problema quando o Windows Defender sinalizou o instalador como malicioso; o site ficou fora do ar \u00e0s 14h24 (hor\u00e1rio de Bras\u00edlia) do dia 7 de maio e voltou a operar na noite de 9 de maio.<\/li>\n<li>Recomenda\u00e7\u00e3o: quem executou o instalador comprometido deve reinstalar o sistema operacional e trocar todas as senhas; o monitoramento de assinaturas digitais ajuda a identificar arquivos leg\u00edtimos (AppWork GmbH).<\/li>\n<\/ul>\n","protected":false},"author":15,"featured_media":672296,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"summary":"Atacantes alteraram links de download do site do JDownloader entre 6 e 7 de maio, distribuindo instaladores maliciosos para Windows e Linux","footnotes":""},"categories":[296,1],"tags":[104,86,100,101,189],"class_list":["post-672269","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ciencia","category-noticias","tag-apps","tag-internet","tag-noticia","tag-pessoas","tag-tecnologia"],"_links":{"self":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/672269","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/users\/15"}],"replies":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/comments?post=672269"}],"version-history":[{"count":0,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/posts\/672269\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media\/672296"}],"wp:attachment":[{"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/media?parent=672269"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/categories?post=672269"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/www.portaltela.com\/api\/wp\/v2\/tags?post=672269"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}