Trang web JDownloader bị hack, phát tán mã độc cho người dùng Windows và Linux

Trang web của phần mềm quản lý tải xuống phổ biến JDownloader vừa trở thành nạn nhân của một cuộc tấn công mạng nghiêm trọng. Những kẻ tấn công đã lợi dụng lỗ hổng bảo mật để thay thế các tệp cài đặt hợp pháp bằng mã độc, nhắm vào người dùng sử dụng hệ điều hành Windows và Linux.

Giao diện JDownloader

Vụ việc được phát hiện như thế nào?

Vụ việc lần đầu tiên được phát hiện khi một người dùng trên Reddit báo cáo rằng các tệp tải xuống mới nhất từ trang web của JDownloader đang bị Windows SmartScreen chặn lại với cảnh báo đáng ngờ. Thay vì chữ ký số quen thuộc thuộc về "AppWork" - nhà phát triển của JDownloader, tệp cài đặt này lại hiển thị nhà phát hành là "Zipline LLC".

Ngay sau khi bài đăng trên Reddit thu hút sự chú ý, đội ngũ phát triển của JDownloader đã xác nhận sự cố và nhanh chóng đóng cửa trang web để tiến hành điều tra.

Phạm vi ảnh hưởng của cuộc tấn công

Theo kết quả điều tra sơ bộ, những kẻ tấn công đã cụ thể hóa mục tiêu vào trang "tải xuống thay thế" (alternative download page) vào ngày 6 tháng 5. Chúng đã thay thế tất cả các liên kết tải bộ cài cho Windows bằng các tệp thực thi độc hại và chưa được ký số.

Đáng chú ý, trình cài đặt dạng shell script dành cho hệ điều hành Linux cũng bị đánh đổi bằng một phiên bản chứa mã độc shell.

Tuy nhiên, đội ngũ JDownloader đã trấn an người dùng rằng tệp chính JDownloader.jar, các bộ cài cho macOS và các gói phần mềm từ các kho lưu trữ bên thứ ba như Winget, Flatpak và Snap không bị ảnh hưởng. Các nền tảng này sử dụng cơ sở hạ tầng riêng biệt và được bảo vệ bởi checksums (tổng kiểm) cũng như chữ ký số đầu cuối.

Nguyên nhân và cách thức tấn công

Cuộc tấn công này thành công nhờ vào một lỗ hổng bảo mật chưa được vá trên trang web của JDownloader. Lỗi này cho phép kẻ tấn công sửa đổi Danh sách kiểm soát truy cập (Access Control Lists - ACL) mà không cần xác thực danh tính.

Sau khi tự cấp quyền chỉnh sửa cho mình, chúng chỉ đơn giản là thay thế các liên kết tải xuống chính thức bằng các liên kết dẫn đến máy chủ của chúng.

Các báo cáo từ người dùng không may đã tải phải tệp nhiễm độc cho thấy mã độc này có khả năng vô hiệu hóa hoàn toàn Windows Defender, mở đường cho các mối đe dọa khác xâm nhập hệ thống.

Xu hướng tấn công chuỗi cung ứng

JDownloader là nạn nhân mới nhất trong một loạt các vụ tấn công chuỗi cung ứng (supply chain attack) nhằm vào các phần mềm tiện ích phổ biến. Chỉ vào tháng trước, trang web của CPUID (nhà phát triển của các công cụ chẩn đoán phần cứng nổi tiếng như CPU-Z và HWMonitor) cũng đã bị hack tương tự.

Trong trường hợp của CPU-Z, tin tặc đã gói gọn một tệp DLL độc hại tên là CRYPTBASE.dll (được biên dịch bằng ngôn ngữ Zig) cùng với ứng dụng sạch. Khi người dùng chạy phần mềm, nó sẽ vô tình tải tệp DLL giả mạo này vào bộ nhớ trước.

Đối với người dùng JDownloader, nếu bạn đã tải phần mềm từ trang web chính thức trong vài ngày qua, đặc biệt là thông qua trang tải xuống thay thế, hãy khẩn trương quét toàn bộ hệ thống bằng phần mềm diệt virus và kiểm tra kỹ các hoạt động bất thường trên máy tính.