JDownloader公式サイトをハッカーが侵害、インストーラーリンクをマルウェアのリンクに置き換える

JDownloader公式サイトをハッカーが侵害、インストーラーリンクをPython RATマルウェアのリンクに置き換える

BleepingComputer – May 9, 2026

人気のダウンロードマネージャーJDownloaderの公式Webサイトが侵害されるサプライチェーン攻撃が発生。WindowsおよびLinux向けのインストーラーリンクが、悪意あるサードパーティペイロードへのリンクへと置き換えられていたという。

このサプライチェーン攻撃の手口は、正規のインストーラーを改変するのではなく、公式サイト上のリンクを置き換えるというもの。これにより、5月6〜7日の間にWindows向けの「Download Alternative Installer」リンクまたはLinuxシェルインストーラーリンクを通じてインストーラーをダウンロードしたユーザーは、攻撃の影響を受けた恐れがある。

この侵害は当初Redditのユーザーにより発見・報告されたのち、JDownloaderの開発者らによっても確認された。開発者らが公開したインシデントレポートによると、インシデントの大まかなタイムラインは以下。

• 2026年5月5日夕方〜夜（現地時間）：インストーラーのリンク改変に先立ち、攻撃者は低トラフィックページでテストを実施
• 6日真夜中過ぎ：攻撃者が数件のダウンロードリンクを改変
• 7日：現地時間17:06にRedditを通じて開発者らが問題を認識。インシデント対応が開始され、17:24にサーバーがシャットダウン。
• 7〜8日：有害なリンクが削除され、正規のリンクが回復される。
• 8日夜〜9日：Webサイトがオンラインに戻され、クリーンなインストーラーリンクによる通常のオペレーションが再開。

開発者らによると、攻撃者は未パッチの脆弱性を悪用して公式サイトを侵害したとされる。この脆弱性により、認証なしでWebサイトのアクセス制御リストやコンテンツを変更できる状態になっていたことから、攻撃者はサイトのコンテンツマネージメントシステムを通じてリンクを改変することができたという。なお、影響を受けたのは代替WindowsインストーラーのダウンロードリンクおよびLinuxシェルインストーラーのリンクのみで、アプリ内アップデートやmacOS向けダウンロード、Flatpak、Winget、SnapパッケージおよびメインのJDownloader JARパッケージは改変されていない。

JDownloaderのチームは悪性ペイロードの分析は行わなかったものの、改変されたリンクからダウンロードされる悪意あるインストーラーのアーカイブを共有している。共有されたWindows版の悪性実行ファイルを分析したサイバーセキュリティ研究者のThomas Klemenc氏によると、このマルウェアはローダーとして機能し、重度に難読化されたPythonベースのリモートアクセス型トロイの木馬（RAT）をデプロイするという。モジュラーボットおよびRATフレームワークとして機能するこのペイロードにより、攻撃者はC2サーバーから配布されるPythonコードを実行できるようになるとされる。Klemenc氏はXのポストにおいてIoCとC2サーバー情報を共有した。

一方で、改変されたLinuxシェルインストーラーを分析したBleepingComputerは、スクリプトに悪意あるコードが注入されているのを発見。これにより、SVGファイルに偽装されたアーカイブが「checkinnhotels[.]com」からダウンロードされると説明した。ダウンロードが完了すると、このスクリプトによりELFバイナリ「pkg」および「systemd-exec」が抽出され、「systemd-exec」がSUID rootバイナリとして「/usr/bin/」でインストールされる。その後、「/root/.local/share/.pkg」にメインのペイロードがコピーされるとともに永続性維持用スクリプトが「/etc/profile.d/systemd.sh」に作成され、「/usr/libexec/upowerd」に見せかけつつマルウェアが実行されるという。ただ、pkgペイロードもPyamorを使って重度に難読化されていることから、どのような働きをするのかはわかっていないとされる。

このように人気ソフトウェアツールのWebサイトを標的とするサプライチェーン攻撃は相次いで発生しており、例えば4月にはCPUIDのCPU-Z・HWMonitorダウンロードリンクが悪意あるリンクへ置き換えられた。また5月初頭には、Daemon ToolsのWebサイトが侵害され、バックドアを含むトロイの木馬化されたインストーラーが配布されるインシデントが報告されている。

Hugging Face上の偽OpenAIリポジトリがスティーラーマルウェアをプッシュ

BleepingComputer – May 9, 2026

Hugging Face上の悪意あるリポジトリにより、Windowsユーザーに情報窃取型マルウェアを配布しようとするキャンペーンをHiddenLayerの研究者らが発見。このリポジトリはOpenAIの「Privacy Filter」を偽装しており、短期的にトレンディングリストにも掲載されたという。

Hugging Faceは、開発者や研究者がAIモデル、データセット、機械学習（ML）ツールを共有できるプラットフォーム。AI・MLモデルの保護を専門とする企業HiddenLayerの研究者らは5月7日に「Open-OSS/privacy-filter」と名付けられた悪意あるリポジトリの存在に気づき、この攻撃キャンペーンを発見したという。

研究者らによれば、このリポジトリにより配布されるloader.pyは、インフォスティーラーマルウェアを取得・実行するとされる。このRusベースのスティーラーは、以下のような機密性の高いデータを盗み、圧縮してC2サーバー（recargapopular[.]com上）に抽出する性能を持つ。

• ChromiumおよびGeckoベースのブラウザのブラウザデータ（Cookie、保存されたパスワード、暗号鍵、ブラウジングデータ、セッショントークンなど）
• Discordトークン、ローカルのデータベース、マスターキー
• 暗号資産ウォレットおよびウォレットブラウザ拡張機能
• SSH、FTP、VPNの認証情報および構成設定ファイル（FileZilla含む）
• 機微なローカルファイルおよびウォレットシード／鍵
• システム情報
• マルチモニターのスクリーンショット

研究者らは、このマルウェアが広範なアンチ解析機能を備えている点を強調。解析システムを回避する目的で、仮想マシンやサンドボックス、デバッグツール、解析ツールの有無をチェックする機能が搭載されていると説明した。

この悪意あるリポジトリはその後削除されるまでに、Hugging Face上で短期的に1位にランクインし、累計ダウンロード数は244,000回と表示されていた。しかしこの回数は人工的に改変された数値である可能性があるため、実際の被害者数は不明だという。