کمیته رکن چهارم – وبسایت رسمی نرمافزار محبوب JDownloader در یک حمله زنجیره تأمین هدف نفوذ قرار گرفت و نسخههای آلوده نصبکننده برای ویندوز و لینوکس را در اختیار کاربران قرار داد.
به گزارش کمیته رکن چهارم، مهاجمان موفق شدند installerهای مخرب را از طریق وبسایت رسمی JDownloader منتشر کنند. بررسیها نشان میدهد نسخه ویندوز یک تروجان دسترسی از راه دور (RAT) مبتنی بر Python را نصب میکرد که قابلیت اجرای کدهای دریافتی از سرور فرماندهی مهاجمان را داشته است.
این حمله نخستینبار پس از گزارش کاربران در Reddit شناسایی شد؛ جایی که برخی کاربران مشاهده کردند فایلهای دانلودشده توسط Microsoft Defender بهعنوان بدافزار شناسایی میشوند و ناشر فایلها نیز با نامهای مشکوکی مانند “Zipline LLC” نمایش داده میشود.
توسعهدهندگان JDownloader بعداً تأیید کردند که وبسایت آنها compromise شده و مهاجمان از یک آسیبپذیری وصلهنشده برای تغییر محتوای سایت و جایگزینی installerها سوءاستفاده کردهاند. با این حال اعلام شده مهاجمان به سیستمعامل یا فایلسیستم اصلی سرور دسترسی نداشتهاند و نفوذ محدود به CMS و فایلهای دانلود بوده است.
تحلیل payload ویندوز نشان میدهد بدافزار پس از اجرا، یک RAT ماژولار و مبهمسازیشده را نصب میکرد که امکان اجرای دستورات، دریافت payload جدید و کنترل سیستم آلوده را فراهم میساخت.
نسخه لینوکسی نیز شامل اسکریپت مخربی بوده که فایلهای ELF آلوده را دانلود کرده و با ایجاد persistence در مسیرهای سیستمی، امکان اجرای دائمی بدافزار را فراهم میکرد. پژوهشگران اعلام کردهاند payload لینوکس نیز بهشدت obfuscate شده و تحلیل کامل آن هنوز ادامه دارد.
حملات supply-chain علیه نرمافزارهای پرکاربرد بهسرعت در حال افزایش است و مهاجمان از اعتماد کاربران به وبسایتهای رسمی برای توزیع بدافزار استفاده میکنند.
توسعهدهندگان JDownloader اعلام کردهاند تنها کاربرانی آسیب دیدهاند که installerهای آلوده را دانلود و اجرا کرده باشند. کارشناسان امنیتی توصیه کردهاند کاربران مشکوک، سیستم خود را بهطور کامل reinstall کرده و تمام رمزهای عبور و sessionهای فعال را تغییر دهند.
پیشزمینه:
JDownloader یکی از شناختهشدهترین نرمافزارهای مدیریت دانلود در ویندوز، لینوکس و macOS است که میلیونها کاربر در سراسر جهان دارد. در ماههای اخیر حملات زنجیره تأمین علیه نرمافزارهای محبوب مانند CPU-Z، HWMonitor و DAEMON Tools نیز افزایش یافته است.
جمعبندی:
این حمله نشان میدهد حتی دانلود فایل از وبسایت رسمی نرمافزارها نیز بدون بررسی امضای دیجیتال و صحت فایلها نمیتواند امنیت کاربران را تضمین کند.
منبع: BleepingComputer
