Oblíbený program na stahování souborů se stal prokletím. Hacknutý instalátor ukradl z PC hesla i bankovní údaje

Útočníci podvrhli instalační odkazy přímo na oficiálním webu JDownloaderu. Kdo 6.–7. května soubor stáhl a spustil, mohl si do počítače vpustit špionážní malware.

Zdroj fotografie: Unsplash

JDownloader patří roky mezi nejpoužívanější správce stahování. Miliony uživatelů ho znají jako spolehlivý nástroj, který zrychluje a organizuje stahování souborů z internetu. Právě proto je o to znepokojivější, co se na jeho oficiálním webu odehrálo v prvním květnovém týdnu roku 2026. Nejde o klasický phishing s podvrženou doménou, tentokrát vedla cesta k malwaru přes legitimní adresu jdownloader.org, které uživatelé důvěřovali.

Co přesně se stalo a kdy

Podle oficiálního incident reportu JDownloaderu útočník pronikl do CMS vrstvy webu a změnil cíle odkazů „Download Alternative Installer“ pro Windows a linuxového shell instalátoru. Nemodifikoval samotné instalační balíčky, nezasáhl server ani databázi uživatelů. Změnil jen to, kam odkazy na stránce směřovaly, místo legitimních souborů od AppWork GmbH vedly na cizí škodlivé binárky.

Rizikové okno trvalo od 6. května 2026 přibližně od 02:01 středoevropského letního času do 7. května zhruba 19:24 SELČ. První veřejné varování přišlo od uživatele na Redditu 7. května v 17:06 UTC. Vývojáři reagovali bleskově, web odstavili za 18 minut. V noci z 8. na 9. května se stránky vrátily s ověřenými čistými odkazy.

Důležité: stávající instalace, in-app aktualizace, JDownloader.jar, macOS stahování ani distribuční kanály jako Winget, Flatpak, Snap nebo Docker image zasaženy nebyly.

Malware, který čekal za dveřími

Na Windows fungoval podvržený instalátor jako loader pro silně šifrovaný Python RAT. Analýzu windowsové varianty publikoval bezpečnostní výzkumník Thomas Klemenc na síti X a podrobněji ji rozebral BleepingComputer. Malware se po spuštění připojil k řídicím C2 serverům a mohl přijímat a vykonávat libovolný Python kód, prakticky modulární špionážní framework, který útočníkům otevíral dveře k přihlašovacím údajům, cookies a dalším citlivým datům v systému.

Linuxová varianta byla jiná, ale stejně zákeřná. Do shell instalátoru byl vložen kód stahující další payload maskovaný jako soubor SVG. Po rozbalení nasadil dva binární soubory ELF, vytvořil komponentu se SUID-root oprávněním a zajistil persistenci, malware přežil restart a tvářil se jako legitimní proces.

Kompletní seznam skutečně exfiltrovaných dat zatím veřejně doložen není. JDownloader však volí nejtvrdší možné doporučení, a to právem: kdo škodlivý soubor spustil, má počítat s tím, že útočník mohl získat přihlašovací údaje včetně těch k bankovnictví.

Proč je supply-chain útok nebezpečnější než phishing

Při klasickém phishingu uživatel klikne na podezřelou doménu nebo podvrženou zprávu. Tady nic podezřelého nebylo, stránka byla ta pravá, adresa v prohlížeči seděla, kontext dával smysl. Právě proto je kompromitace oficiálního distribučního kanálu tak zrádná. Uživatel dělá přesně to, co by mu poradil každý bezpečnostní expert: stahuje z oficiálního zdroje.

Jedinou brzdou mohl být Microsoft Defender SmartScreen. Podvržené windowsové soubory nenesly platný podpis AppWork GmbH, a SmartScreen tak měl zobrazit varování typu „Windows protected your PC“. Jenže SmartScreen je reputační a varovná vrstva, ne neprůstřelná zeď, uživatel může varování v některých konfiguracích obejít. Kdo klikl na „Run anyway“, pustil malware dovnitř.

Jak zjistit, zda jste v ohrožení

Riziko se týká výhradně lidí, kteří splňují tři podmínky najednou:

• Stáhli soubor z jdownloader.org přes odkaz „Stáhněte si alternativní instalační program“ (Windows) nebo linuxový shell instalátor.
• Stažení proběhlo v rizikovém okně 6.–7. května 2026.
• Stažený soubor skutečně spustili.

Pokud jste JDownloader instalovali dříve, aktualizovali ho z aplikace nebo použili jiný distribuční kanál, do rizikové skupiny nespadáte. Pro ověření starších stažených souborů JDownloader zveřejnil hashe SHA256 a přesné velikosti sedmi windowsových a jednoho linuxového škodlivého instalátoru, najdete je v incident reportu na webu projektu.

Co dělat, pokud jste soubor spustili

Pořadí kroků je zásadní. Každá minuta prodlení zvyšuje potenciální škodu.

1. Okamžitě přestaňte na zasaženém počítači zadávat hesla a přihlašovat se k čemukoli citlivému.
2. Z jiného čistého zařízení kontaktujte banku, pokud jste na dotčeném PC používali internetové bankovnictví nebo měli v prohlížeči uložené platební údaje. Jak uvádí Česká spořitelna s odkazem na ČBA, rychlý kontakt s bankou výrazně zvyšuje šanci na záchranu financí.
3. Z čistého zařízení změňte hesla k e-mailu, password manageru, bankovnictví a dalším klíčovým účtům.
4. Na zasaženém stroji proveďte čistou reinstalaci operačního systému. JDownloader ji při jakékoli nejistotě výslovně doporučuje, skenování antivirem nemusí stačit u modulárního RAT frameworku.
5. Teprve potom obnovujte data ze záloh a řešte méně kritické účty.

Osmnáct minut od varování po odstavení webu, tak rychle vývojáři JDownloaderu zareagovali. Program samotný kompromitován nebyl a po opravě webu není veřejný důvod ho považovat za nebezpečný. Kdo ale v tom úzkém květnovém okně klikl na špatný odkaz a spustil nepodepsaný soubor, musí jednat tak, jako by jeho počítač patřil někomu jinému.