JDownloader 공식 웹사이트가 2026년 5월 6일부터 7일 사이에 해킹되어, Windows와 Linux용 설치 파일이 악성코드로 대체되는 공급망 공격이 발생하였다. 공격자는 공식 다운로드 링크를 악성 페이로드로 변경하였으며, Windows 대체 설치 파일과 Linux 셸 설치 파일이 영향을 받았다. 이로 인해 Windows에서는 Python 기반 원격 액세스 트로이 목마(RAT)가 배포되었고, Linux에서는 악성 코드가 삽입된 스크립트가 실행되어 시스템에 백도어를 설치하였다.
JDownloader 개발팀은 해당 사실을 인지한 후 웹사이트를 오프라인으로 전환하고, 공격자가 인증 없이 웹사이트의 콘텐츠 관리 시스템(CMS)을 통해 다운로드 링크를 변경한 것으로 확인하였다. 다행히 macOS, Flatpak, Winget, Snap 패키지, 메인 JAR 패키지 등은 영향을 받지 않았다. 개발팀은 설치 파일의 디지털 서명이 "AppWork GmbH"로 되어 있는지 확인할 것을 권고하였으며, 그렇지 않은 경우 실행을 피해야 한다고 안내하였다.
해당 기간 동안 악성 설치 파일을 다운로드 및 실행한 사용자는 운영체제 재설치와 비밀번호 변경 등 추가 보안 조치를 취할 것이 권고된다. 최근 들어 인기 소프트웨어 공식 웹사이트를 통한 악성코드 유포 사례가 증가하고 있어, 사용자들의 각별한 주의가 요구된다.
요약
- JDownloader 공식 웹사이트가 해킹되어 악성 설치 파일이 유포되었다.
- Windows와 Linux 대체 설치 파일이 영향을 받았으며, 각각 RAT와 백도어가 설치되었다.
- 개발팀은 CMS 취약점이 악용되었음을 확인하고, 디지털 서명 확인을 권고하였다.
- 감염된 사용자는 운영체제 재설치 및 비밀번호 변경 등 보안 조치를 취해야 한다.
- 최근 소프트웨어 공식 웹사이트를 통한 공급망 공격이 증가하고 있다.
Reference
※ 이 글은 생성형 AI(gpt4.1)에 의해 요약되었습니다.