免费下载工具JDownloader遭到黑客攻击 5.6~7日下载该工具的用户请立即查杀

老牌免费下载器 JDownloader 的官方网站在 2026 年 5 月 6 日～7 日 (UTC 时间) 期间遭到黑客入侵，黑客修改网站上的下载链接将其替换为带有远程访问木马的恶意版本，在以上时间范围内下载这款工具的用户建议立即使用反病毒软件进行深度查杀。

JDownloader 支持从文件托管服务器、视频网站甚至部分付费链接生成器自动下载文件，该软件在全球拥有数百万名用户，支持 Windows、Linux 和 macOS 系统，此次遭到黑客篡改的是 JDownloader for Windows 和 Linux 版。

所幸在 Microsoft Defender 可以有效检测和识别黑客投放的远程访问木马，在入侵期间有用户下载该软件后被微软自动拦截，微软的反病毒软件将安装程序报告为恶意软件阻止用户运行 (但用户也可以解除阻止继续运行)。



包含远程访问木马的恶意版本则使用多个被盗的代码签名证书进行签名，有时候开发者显示为 Zipline LLC，有时候会显示为 The Water Team 等，黑客似乎想要通过这种方式降低用户戒备心，但 JDownloader 官方版的数字签名应该是 AppWork GmbH。

JDownloader 团队接到用户报告后也进行调查，调查发现黑客通过某种方式入侵网站内容管理系统然后篡改下载链接，受影响的包括 JDownloader 下载页面的 Windows 安装程序 (显示为下载备用安装程序) 和 Linux shell 安装程序。

黑客投放的远程访问木马使用 Python 开发，内含模块化机器人和 RAT 框架，可以从攻击者的 C2 服务器接收命令并在受感染的设备上执行，按照木马设计方式，黑客可以在受感染的设备上执行任意命令，当然可能也包括监控用户的输入以及窃取用户文件等。

单纯卸载包含后门程序的 JDownloader 可能无法解决问题，建议在 2026 年 5 月 6 日～7 日 (UTC 时间) 期间通过 JDownloader 官网下载该软件的用户备份重要文件后重装系统，重装系统后再重新下载干净的、不含后门程序的 JDownloader 即可。

黑客使用的 C2 域名：

• parkspringshotel [.] com/m/Lu6aeloo.php (均为合法网站但也遭到黑客入侵用来托管恶意文件)
  
• auraguest [.] lk/m/douV2quu.php (均为合法网站但也遭到黑客入侵用来托管恶意文件)
  
• checkinnhotels [.] com (均为合法网站但也遭到黑客入侵用来托管恶意文件)