La web oficial de JDownloader, uno de los gestores de descargas más utilizados a nivel internacional, fue comprometida esta semana para distribuir instaladores maliciosos dirigidos a usuarios de Windows y Linux. El incidente, confirmado por los propios desarrolladores del proyecto, constituye un nuevo caso de ataque a la cadena de suministro, una técnica cada vez más utilizada por los ciberdelincuentes para infectar equipos aprovechando la confianza que los usuarios depositan en páginas legítimas.
El ataque afectó a quienes descargaron instaladores desde la web oficial de JDownloader entre el 6 y el 7 de mayo de 2026. En concreto, los enlaces comprometidos fueron los correspondientes al “Download Alternative Installer” para Windows y al instalador shell para Linux. Los atacantes modificaron estos enlaces para que redirigieran a cargas maliciosas alojadas en servidores de terceros, en lugar de ofrecer los instaladores legítimos de la aplicación.
JDownloader es una herramienta gratuita y ampliamente conocida para gestionar descargas automatizadas desde servicios de alojamiento de archivos, páginas de vídeo y generadores de enlaces premium. Lleva más de una década disponible y cuenta con millones de usuarios en sistemas Windows, Linux y macOS. Precisamente esa popularidad convierte a su web en un objetivo atractivo para los grupos que buscan distribuir malware de forma masiva.
Una alerta iniciada por los propios usuarios
El incidente empezó a hacerse visible después de que un usuario alertara de que los instaladores descargados desde la web oficial estaban siendo detectados como software malicioso por Microsoft Defender. También observó que los archivos aparecían firmados por entidades distintas a la desarrolladora legítima del programa, AppWork, lo que despertó las primeras sospechas.
Posteriormente, el equipo de JDownloader confirmó que la página había sido comprometida y decidió dejarla fuera de línea mientras investigaba el alcance del incidente. En su informe, los desarrolladores explicaron que los atacantes explotaron una vulnerabilidad sin parchear que les permitió modificar listas de control de acceso y contenido publicado a través del sistema de gestión de contenidos de la web.
No obstante, los responsables del proyecto aclararon que los atacantes no obtuvieron acceso al servidor subyacente ni al sistema de archivos del alojamiento. La intrusión se habría limitado a la manipulación de contenido gestionado desde el CMS, especialmente páginas y enlaces de descarga.
Qué descargas se vieron afectadas
De acuerdo con la información facilitada por los desarrolladores, el ataque no afectó a todas las vías de distribución de JDownloader. Los enlaces comprometidos fueron los instaladores alternativos de Windows y el instalador shell de Linux.
En cambio, no se habrían modificado las actualizaciones internas de la aplicación, las descargas para macOS, los paquetes Flatpak, Winget y Snap, ni el paquete principal JAR de JDownloader. Esta distinción es importante, ya que reduce el alcance del incidente a usuarios que descargaron y ejecutaron instaladores concretos durante la ventana temporal en la que la web estuvo comprometida.
El equipo de JDownloader recomendó a los usuarios comprobar la firma digital de los instaladores. En Windows, esta verificación puede realizarse haciendo clic derecho sobre el archivo, accediendo a “Propiedades” y revisando la pestaña de “Firmas digitales”. Si el instalador aparece firmado por “AppWork GmbH”, se considera legítimo. Si no está firmado o figura con otro nombre, debe evitarse.
Un RAT basado en Python en Windows
El análisis posterior de los instaladores maliciosos reveló que la versión para Windows actuaba como un cargador diseñado para desplegar un troyano de acceso remoto basado en Python. Este tipo de malware, conocido como RAT por sus siglas en inglés, permite a los atacantes controlar de forma remota el equipo infectado, ejecutar comandos, descargar nuevas cargas y, potencialmente, robar información sensible.
El ataque no se limitó a Windows. El instalador shell para Linux también fue modificado con código malicioso. El script descargaba un archivo desde un dominio externo haciéndolo pasar por un fichero SVG. Tras la descarga, extraía dos binarios ELF y copiaba uno de ellos en el sistema como un binario con privilegios SUID-root.
Además, el instalador creaba mecanismos de persistencia en el sistema y ejecutaba la carga maliciosa camuflándola como un proceso legítimo. Parte del malware estaba ofuscado con Pyarmor, lo que dificulta conocer con precisión todas sus funcionalidades.
La presencia de capacidades de persistencia y privilegios elevados en Linux agrava el riesgo para los usuarios afectados, ya que el malware podría mantenerse activo tras reinicios y operar con permisos significativos dentro del sistema.
