Un cheval de Troie dissimulé dans JDownloader : des utilisateurs potentiellement infectés
Des hackers ont compromis le site officiel de JDownloader, un gestionnaire de téléchargements gratuit utilisé par des millions de personnes, pour y insérer des installeurs malveillants. Cette substitution a passé inaperçue pendant plus d’une journée, laissant craindre une infection pour ceux ayant téléchargé le logiciel cette semaine.
Les attaques de type chaîne d’approvisionnement se sont multipliées depuis le début de l’année. Ces cyberattaques consistent à cibler des logiciels de confiance pour y glisser du code malveillant. Par exemple, le site officiel de Daemon Tools a été compromis en avril, touchant plus de 100 pays, y compris la France. Ces offensives sont particulièrement redoutables, car elles exploitent la confiance des utilisateurs envers des sources habituelles.
JDownloader, qui existe depuis plus d’une décennie, a récemment été victime de cette tendance. Entre le 6 et le 7 mai 2026, des pirates ont exploité une faille non corrigée dans le système de gestion de contenu du site pour modifier les droits d’accès et remplacer les liens de téléchargement. Un utilisateur a alerté la communauté en notant que Windows Defender signalait les fichiers comme suspects, affichant un éditeur inconnu au lieu d’AppWork GmbH. Les installeurs alternatifs pour Windows contenaient un cheval de Troie d’accès à distance, et le script Linux était également infecté. Les utilisateurs ayant exécuté ces fichiers sont conseillés de réinstaller leur système et de changer tous leurs mots de passe.
Il est à noter que tous les utilisateurs de JDownloader ne sont pas concernés. Les mises à jour intégrées à l’application, ainsi que les paquets Flatpak, Winget et Snap, ont été protégés par des signatures cryptographiques indépendantes. Pour vérifier la légitimité de leur installeur, les utilisateurs doivent faire un clic droit sur le fichier, puis consulter les propriétés et les signatures numériques. Si le nom affiché n’est pas AppWork GmbH, il est recommandé de ne pas lancer le fichier. Le site a été remis en ligne dans la nuit du 8 au 9 mai.
Source : Phonandroid.
