JDownloader, le site officiel a diffusé des installeurs malveillants Windows et Linux
une piratage a eu lieu
JDownloader, l’un des gestionnaires de téléchargement les plus connus, a été victime d’un important incident de sécurité. Il a visé son site officiel. Début mai 2026, des pirates sont parvenus à modifier certains liens publiés sur le portail afin de remplacer les téléchargements légitimes par des fichiers malveillants tiers.
L’incident a été documenté directement par l’équipe du projet dans une page dédiée publiée le 8 mai 2026. La période critique se situe entre le 6 mai et le 7 mai 2026. Le rapport explique que seuls les utilisateurs ayant téléchargé puis exécuté le programme via certains liens précis du site officiel sont potentiellement concernés. En clair les installations déjà présentes et les mises à jour internes de l’application ne seraient pas compromises.
Une attaque sournoise
L’attaque n’a pas consisté à modifier le code source de JDownloader ou son infrastructure de mise à jour. Les pirates ont ciblé son site web et son système de gestion de contenu. D’après le rapport officiel, des modifications de pages et de liens ont été possible en raison d’une faille non corrigée permettant de changer des droits d’accès et du contenu sans authentification.
Les liens affectés sont les “Download Alternative Installer” pour Windows et le lien d’installation shell pour Linux. Les autres canaux, notamment macOS, le paquet JAR, Flatpak, Winget, Snap et les mises à jour intégrées à JDownloader, n’auraient pas été touchés.
Un RAT Python côté Windows
Côté Windows, le fichier malveillant récupéré s’est attelé à installer un cheval de Troie d’accès à distance basé sur le language Python. Ce type de malware, désigné par l’acronyme RAT pour Remote Access Trojan, permet d’exécuter du code, de contrôler certaines fonctions de la machine et d’installer d’autres logiciels malveillants.
Du coté de Linux le script Linux modifié téléchargeait du code malveillant destiné à installer des binaires “obfusqués” et à mettre en place une persistance.
Au final l’incident semble concerner que des liens de téléchargement publiés sur le site officiel, et pas le logiciel JDownloader lui-même. JDownloader affirme que son système de mise à jour interne repose sur une infrastructure distincte et que les mises à jour intégrées à l’application n’ont pas été affectées.
Comment savoir si l’on est concerné ?
Les utilisateurs les plus exposés sont ceux qui ont téléchargé JDownloader depuis le site officiel entre le 6 et le 7 mai 2026 UTC, puis lancé l’un des fichiers issus du lien Alternative Installer Windows ou du script shell Linux.
JDownloader recommande de vérifier la signature numérique des installateurs Windows : un fichier légitime doit être signé par AppWork GmbH. Sur Reddit, plusieurs utilisateurs ont signalé des anomalies avant la confirmation officielle, notamment des alertes de Windows Defender ou des signatures inhabituelles comme “Zipline LLC” ou “The Water Team”.
Les utilisateurs concernés doivent également considérer leur système comme potentiellement compromis. Dans ce type de scénario, un simple nettoyage antivirus peut ne pas suffire. Les recommandations relayées par BleepingComputer et SC World vont jusqu’à la réinstallation du système et au changement des mots de passe après nettoyage de l’environnement.
