Image credit: magnific
Situs JDownloader Disusupi Installer Palsu – Situs web resmi pengelola unduhan (download manager) populer, JDownloader, dilaporkan telah disusupi awal pekan ini untuk menyebarkan penginstal Windows dan Linux palsu yang berbahaya.
Serangan ini menyisipkan payload berupa Trojan akses jarak jauh (Remote Access Trojan/RAT) berbasis bahasa pemrograman Python ke sistem korbannya.
Serangan rantai pasok (supply chain attack) ini berdampak pada pengguna yang mengunduh penginstal dari situs resmi antara tanggal 6 hingga 7 Mei 2026.
Secara spesifik, celah ini ditemukan pada tautan “Download Alternative Installer” untuk Windows dan penginstal skrip shell untuk Linux.
|
Baca juga: AMOS Pencuri Identitas Digital |
Anatomi Penyusupan Situs JDownloader
JDownloader adalah aplikasi manajemen unduhan gratis yang telah digunakan selama lebih dari satu dekade oleh jutaan orang di seluruh dunia.
Peneliti keamanan mencatat bahwa serangan ini bermula dari eksploitasi kerentanan yang belum ditambal (unpatched) pada sistem manajemen konten (CMS) situs web tersebut.
Kerentanan ini memungkinkan penyerang mengubah daftar kontrol akses dan konten situs tanpa perlu melakukan autentikasi.
Akibatnya, tautan unduhan resmi diubah untuk mengarah ke payload pihak ketiga yang berbahaya. Pengembang JDownloader menegaskan bahwa penyerang hanya berhasil menguasai konten web melalui CMS.
Dan tidak mendapatkan akses ke tumpukan server internal, sistem file inang, atau kontrol tingkat sistem operasi yang lebih luas.
Deteksi Malware dan Taktik Penyamaran
Kasus ini pertama kali mencuat setelah seorang pengguna melaporkan adanya anomali pada penginstal yang diunduh, di mana Microsoft Defender menandai file tersebut sebagai perangkat lunak berbahaya.
Dalam penginstal palsu tersebut, nama pengembang yang tercantum bukan lagi “AppWork GmbH”, melainkan nama asing seperti “Zipline LLC” atau “The Water Team”.
Berdasarkan analisis dari peneliti, malware yang disisipkan bekerja dengan cara sebagai berikut:
- Varian Windows: Bertindak sebagai pemuat (loader) yang menyebarkan RAT berbasis Python yang telah dikaburkan (obfuscated) secara berat. Malware ini bersifat modular, memungkinkan penyerang mengeksekusi kode Python tambahan yang dikirim langsung dari server perintah dan kontrol (C2).
- Varian Linux: Penyerang menyuntikkan kode berbahaya ke dalam skrip shell penginstal. Skrip ini akan mengunduh arsip yang menyamar sebagai file gambar (.SVG), yang kemudian mengekstrak binari berbahaya bernama systemd-exec. Malware ini berusaha mendapatkan hak akses root (SUID-root) dan membangun persistensi di dalam sistem dengan menyamar sebagai proses layanan sistem yang sah.
|
Baca juga: Teror Siber di Jalur Produksi |
Rekomendasi Pemulihan
Pengembang menekankan bahwa risiko hanya menimpa pengguna yang mengunduh dan mengeksekusi penginstal selama jendela waktu serangan (6-7 Mei 2026).
Jika Anda menginstal JDownloader pada periode tersebut, berikut adalah langkah-langkah mitigasi yang sangat disarankan:
- Klik kanan pada file penginstal, pilih Properties, lalu buka tab Digital Signatures. Jika penandatangan bukan “AppWork GmbH”, segera hapus file tersebut dan jangan dijalankan.
- Karena malware mampu mengeksekusi kode arbitrer yang dapat merusak integritas sistem secara mendalam, peneliti menyarankan pengguna yang terinfeksi untuk melakukan instalasi ulang sistem operasi guna memastikan perangkat benar-benar bersih.
- Ada kemungkinan besar kredensial (nama pengguna dan kata sandi) yang tersimpan di perangkat telah dicuri oleh RAT tersebut. Segera ganti semua kata sandi akun penting Anda setelah sistem dibersihkan.
- Pengembang mengonfirmasi bahwa pembaruan di dalam aplikasi (in-app updates), paket Flatpak, Winget, Snap, dan paket macOS tetap aman. Gunakan jalur distribusi ini untuk mengunduh ulang aplikasi.
Tren Serangan Rantai Pasok 2026
Insiden JDownloader merupakan bagian dari tren serangan siber yang meningkat di tahun 2026, di mana peretas menargetkan situs web alat perangkat lunak populer untuk mendistribusikan malware secara massal.
Sebelumnya di bulan April, situs web CPUID (pengembang CPU-Z) juga mengalami penyusupan serupa, disusul oleh platform DAEMON Tools awal bulan ini.
Fenomena ini menunjukkan bahwa situs resmi pun tidak bisa dipercaya sepenuhnya tanpa verifikasi tambahan. Bagi pengguna, melakukan pengecekan tanda tangan digital binari dan tetap waspada terhadap peringatan dari perangkat lunak antivirus adalah benteng pertahanan terakhir yang krusial sebelum menjalankan aplikasi yang baru diunduh dari internet.
Sumber berita:
