Situs JDownloader Diretas, Installer Diganti dengan Malware Python RAT

Situs web pengelola unduhan (download manager) populer, JDownloader, baru saja menjadi korban peretasan pada awal pekan ini. Penyerang menyalahgunakan situs tersebut untuk mendistribusikan installer Windows dan Linux berbahaya, yang diam-diam menyebarkan Trojan Akses Jarak Jauh (RAT) berbasis Python ke perangkat pengguna.

Serangan rantai pasokan (supply chain attack) ini berdampak pada pengguna yang mengunduh installer dari situs web resmi antara tanggal 6 Mei hingga 7 Mei 2026, secara spesifik melalui tautan “Download Alternative Installer” untuk Windows dan tautan shell installer untuk Linux.

Kronologi dan Celah Keamanan (CMS)

Kasus ini pertama kali mencuat ketika pengguna di Reddit melaporkan bahwa installer yang mereka unduh ditandai sebagai perangkat lunak berbahaya oleh Microsoft Defender. Selain itu, sertifikat digitalnya mencantumkan nama penerbit mencurigakan seperti ‘Zipline LLC’ atau ‘The Water Team’, bukan pengembang aslinya.

Tim pengembang JDownloader (AppWork GmbH) segera mengonfirmasi peretasan tersebut dan mematikan situs web untuk investigasi. Berdasarkan laporan insiden, situs web mereka disusupi melalui eksploitasi kerentanan yang belum ditambal (unpatched) pada sistem manajemen konten (CMS). Celah ini memungkinkan penyerang mengubah daftar kontrol akses (ACL) dan memodifikasi tautan unduhan tanpa perlu otentikasi.

Namun, pengembang menegaskan bahwa peretas tidak mendapatkan akses ke tumpukan server yang mendasarinya (sistem operasi host) selain konten web yang dikelola CMS. Pembaruan dalam aplikasi (in-app updates), unduhan macOS, Flatpak, Winget, paket Snap, dan paket utama JDownloader JAR dipastikan tidak terpengaruh.

Analisis Malware: Serangan Multi-Platform

1. Payload Windows (Python RAT) Menurut peneliti keamanan siber Thomas Klemenc, file executable Windows yang berbahaya bertindak sebagai loader yang menyebarkan RAT berbasis Python yang telah diobfusikasi (disandikan) secara berat. Malware modular ini memungkinkan penyerang mengeksekusi kode Python tambahan yang dikirim dari server Command and Control (C2) milik mereka.

2. Payload Linux (SUID-root & Persistensi) Analisis dari BleepingComputer menemukan bahwa installer shell Linux yang dimodifikasi telah diinjeksi dengan kode berbahaya. Skrip ini akan mengunduh arsip dari server eksternal yang disamarkan sebagai file gambar .svg. Setelah diunduh, skrip akan:

• Mengekstrak dua binary ELF bernama pkg dan systemd-exec.
• Menginstal systemd-exec sebagai binary SUID-root di /usr/bin/.
• Membuat skrip persistensi di /etc/profile.d/systemd.sh.
• Menjalankan malware secara diam-diam dengan menyamar sebagai proses /usr/libexec/upowerd.

Cara Verifikasi dan Langkah Mitigasi

Untuk memastikan apakah installer Windows JDownloader yang Anda miliki aman, klik kanan pada file tersebut, pilih Properties, lalu buka tab Digital Signatures. Installer yang sah hanya ditandatangani oleh “AppWork GmbH”. Jika tidak ada tanda tangan digital atau menggunakan nama lain, segera hapus file tersebut.

Bagi pengguna yang telanjur menginstal file berbahaya tersebut selama periode peretasan (6-7 Mei 2026), sangat disarankan untuk melakukan instal ulang (reinstall) sistem operasi Anda secara total. Karena malware ini dapat mengeksekusi kode arbitrer dan mencuri data, Anda juga diwajibkan untuk mereset semua kata sandi setelah perangkat selesai dibersihkan.

Tren peretasan ini menambah daftar panjang serangan rantai pasokan yang menargetkan utilitas PC populer sepanjang tahun ini. Pada bulan April, peretas juga menyusupi situs web CPUID (CPU-Z dan HWMonitor), dan awal bulan ini, situs web DAEMONTOOLS juga diretas untuk menyebarkan backdoor.

Sumber: Lawrence Abrams