Le célèbre gestionnaire de téléchargements JDownloader a été victime d’une cyberattaque ! Les pirates sont parvenus à compromettre le site officiel et à modifier les liens de téléchargements pour pointer vers des versions infectées du programme d’installation. Voici ce que l’on sait.

Si vous avez téléchargé JDownloader sur Windows ou Linux entre le 6 et le 7 mai 2026, vous devez lire cet article avec attention. Des pirates ont compromis le site officiel de ce célèbre utilitaire et grâce à cet accès, ils ont pu remplacer les programmes d’installation légitimes par des versions malveillantes embarquant un cheval de Troie (RAT) codé en Python. Après les incidents de sécurité liés à DAEMON Tools et CPUID, voici encore un nouvel exemple d’une attaque sur la chaîne d’approvisionnement…

Le signal d’alerte est venu de la communauté d’utilisateurs de JDownloader, et plus particulièrement de Reddit. Comme le révèle BleepingComputer, un utilisateur surnommé PrinceOfNightSky a remarqué que Microsoft Defender bloquait l’exécutable Windows pourtant fraîchement téléchargé depuis le site officiel.

“Le site web est officiel, mais tous les fichiers EXE pour Windows sont signalés comme des logiciels malveillants par Windows, et le développeur est indiqué comme étant « Zipline LLC ». Parfois, c’est « The Water Team » qui est mentionné. Le logiciel est manifestement développé par Appwork, et je dois le débloquer manuellement dans Windows pour pouvoir l’exécuter, ce que je ne compte pas faire.”, peut-on lire.

Prise de contrôle du site JDownloader

Quelques heures plus tard, et suite à ces signalements sur Reddit, l’équipe de JDownloader a publié un rapport à propos de cet incident après avoir mené les investigations nécessaires. Le pirate a eu accès au site officiel, après avoir compromis le CMS (système de gestion de contenu du site).

“Des modifications ont été apportées via le système de gestion de contenu du site web, affectant les pages publiées et les liens. Le pirate n’a pas réussi à accéder à à la stack serveur sous-jacente — en particulier, il n’a pas eu accès au système de fichiers de l’hôte ni à un contrôle plus large au niveau du système d’exploitation, au-delà du contenu web géré par le CMS.”, peut-on lire.

Des versions infectées ont été distribuées via le site officiel. D’après les premières analyses menées par certains chercheurs, dont Thomas Klemenc sur X, le fichier exécutable pour Windows agissait comme un loader permettant de déployer un RAT (Remote Access Trojan) basé sur Python. Grâce à ce logiciel malveillant, les pirates pouvaient exécuter des commandes à distance par l’intermédiaire de l’infrastructure C2. Dans son message, il indique notamment des indicateurs de compromission, dont deux adresses IP associées aux activités malveillantes ( et ).

Du côté de la version infectée destinée à Linux, il s’agirait d’une archive déguisée sous la forme d’un fichier SVG et téléchargée depuis une adresse externe. Ce script malveillant téléchargerait ensuite deux binaires nommés et . La charge utile principale est exécutée en se faisant passer pour le processus légitime .

Qui est affecté par cet incident ?

Il est important de noter que cet incident de sécurité n’affecte pas tous les liens de téléchargement. En effet, deux liens spécifiques ont été ciblés et modifiés :

• Les liens de téléchargement de l’installateur pour Windows, via le lien “Download Alternative Installer”,
• Le lien de l’installateur Shell pour Linux.

Les autres versions, qu’il s’agisse des mises à jour obtenues via le mécanisme interne de l’application, des paquets macOS, Flatpak, Winget, Snap ou du paquet JAR, ne sont pas impactées par cette cyberattaque.

La version malveillante à destination de Windows est reconnaissable grâce à une signature numérique incohérente. Elle doit être signée par l’éditeur, à savoir AppWork GmbH pour être saine, et non par un autre éditeur. Les pirates semblent avoir réutilisé des certificats légitimes pour signer leur exécutable malveillant.

En résumé, si vous avez téléchargé le programme d’installation pour Windows ou le script pour Linux entre le 6 et le 7 mai 2026, la prudence est de mise ! Analysez votre machine à la recherche d’une activité malveillante et envisagez une réinstallation de votre machine pour assurer un nettoyage complet.