İnternetin en çok tercih edilen indirme araçlarından biri olan JDownloader, ciddi bir güvenlik ihlaliyle sarsıldı. Kimliği belirsiz saldırganlar, yazılımın resmi internet sitesine sızarak Windows ve Linux kullanıcılarına sunulan kurulum dosyalarını zararlı yazılımlarla değiştirdi.
Yaklaşık bir gün boyunca yayında kalan bu sahte dosyalar, kullanıcıların bilgisayarlarına resmi uygulama yerine virüs bulaşmasına neden oldu. Olayın fark edilmesi üzerine JDownloader ekibi, geniş çaplı bir inceleme başlatmak amacıyla web sitesini hızla erişime kapattı. Haber yayına hazırlanırken, site halen kapalıydı.
Saldırının detayları, bir Reddit kullanıcısının yeni indirdiği dosyanın Windows SmartScreen tarafından engellendiğini rapor etmesiyle gün yüzüne çıktı. Kullanıcı, kurulum dosyasının yayıncı kısmında alışılagelmiş "AppWork" imzası yerine "Zipline LLC" ismini görünce durumu topluluğa bildirdi. Kısa sürede yayılan bu uyarı, geliştirici ekibin devreye girmesini sağladı. Yapılan ilk incelemeler, korsanların 6 Mayıs tarihinde sitenin "alternatif indirme" sayfasını hedef aldığını doğruluyor. Bu bölümde yer alan tüm Windows bağlantıları, dijital imzası bulunmayan kötü amaçlı yürütülebilir dosyalarla değiştirilirken, Linux tarafındaki yükleyiciye de zararlı kodlar eklendi.
Güvenlik açığı nasıl istismar edildi?
Saldırganların sisteme sızmasını sağlayan ana unsurun, web sitesinde bulunan ve henüz yamalanmamış bir güvenlik açığı olduğu bildiriliyor. Bu kritik hata, saldırganların herhangi bir kimlik doğrulamasına ihtiyaç duymadan sitenin Erişim Kontrol Listelerini (ACL) manipüle etmesine olanak tanıdı. Kendilerine düzenleme yetkisi veren siber korsanlar, resmi indirme linklerini kolayca kendi hazırladıkları dosyalarla güncelledi. Enfekte olan dosyaları çalıştıran kullanıcılardan gelen geri bildirimler ise durumun ciddiyetini gösteriyor; zira bulaşan yazılımın Windows Defender'ı tamamen devre dışı bıraktığı rapor edildi.
Şirket yetkilileri, ana JDownloader.jar dosyasının ve macOS sürümlerinin bu saldırıdan etkilenmediğini vurguladı. Ayrıca Winget, Flatpak ve Snap gibi platformlar üzerinden yapılan indirmeler de farklı bir altyapı ve dijital imza sistemiyle korunduğu için güvenli kalmaya devam etti.
JDownloader’ın yaşadığı bu olay, geçtiğimiz ay benzer bir saldırıya maruz kalan CPU-Z ve HWMonitor yapımcısı CPUID vakasını akıllara getiriyor. Güvenilir yazılımların popülaritesini kullanan bu tarz tedarik zinciri saldırıları, siber saldırganların yeni gözdesi olmuş durumda.