Le gestionnaire de téléchargements open source a servi des installeurs vérolés depuis son site officiel. L'éditeur allemand recommande une réinstallation complète du système aux utilisateurs concernés.
Entre le 6 et le 7 mai 2026, le site jdownloader.org ne distribuait plus tout à fait ce qu'il promettait. Selon BleepingComputer, des attaquants ont exploité une faille dans le CMS du site pour modifier les liens de téléchargement et y substituer des installeurs piégés. AppWork GmbH, l'éditeur allemand du logiciel, a mis le site hors ligne dès la détection de l'intrusion et l'a restauré le 9 mai après avoir durci sa configuration serveur.
Les installeurs alternatifs Windows et le script Linux, seules cibles de l'attaque
Les attaquants n'ont pas compromis les serveurs de build ni les binaires signés. Ils ont emprunté un chemin plus discret (et plus malin) : le CMS du site, dont une vulnérabilité permettait de modifier les pages publiées sans authentification. Concrètement, seuls les liens « Download Alternative Installer » pour Windows et le script d'installation shell pour Linux pointaient vers des fichiers malveillants. Les installeurs principaux signés, les mises à jour intégrées à l'application (protégées par vérification RSA), les paquets macOS, Flatpak, Winget, Snap et le JAR restaient intacts.
- Téléchargement automatisé
- Large compatibilité de services
- Interface personnalisable
Côté Windows, le chercheur Thomas Klemenc a identifié un RAT Python fortement obfusqué via PyArmor. L'architecture est modulaire : un loader déploie un bot capable d'exécuter du code Python transmis par les serveurs de commande et contrôle. Côté Linux, le scénario est tout aussi soigné. Le script modifié télécharge une archive déguisée en fichier SVG, installe un binaire SUID-root dans /usr/bin/ et crée un script de persistance dans /etc/profile.d/. Des utilisateurs Reddit ont été les premiers à remarquer l'anomalie. L'éditeur affiché dans les propriétés Windows n'était plus « AppWork GmbH » mais « Zipline LLC » ou « The Water Team » (des noms qui ne figurent dans aucun registre connu).
Troisième attaque supply chain en deux mois : un pattern qui s'installe
En avril 2026, le site de CPUID (éditeur de CPU-Z et HWMonitor) avait subi le même sort. Un RAT déployé via DLL sideloading avait fait plus de 150 victimes, selon Kaspersky. Début mai, c'était au tour de DAEMON Tools. Le schéma se répète : des éditeurs de logiciels utilitaires, souvent de petite taille, dont les sites web deviennent des vecteurs d'infection. Les binaires originaux, eux, restent intacts. Une sorte de hold-up à la devanture, si l'on veut (la porte arrière restant verrouillée, c'est la vitrine qu'on remplace).
JDownloader est historiquement très téléchargé dans la francophonie, y compris depuis Clubic. AppWork ne mâche pas ses mots pour ceux qui auraient téléchargé l'installeur alternatif entre le 6 et le 7 mai. Un simple scan antivirus ne suffit pas. L'éditeur recommande une réinstallation complète du système d'exploitation et la réinitialisation de tous les mots de passe.
