Laut dem Vorfallbericht der Entwickler nutzten die Angreifer eine ungepatchte Schwachstelle aus, über die sich Zugriffslisten und Inhalte der Website ohne Authentifizierung ändern ließen. Die Manipulation erfolgte über das Content-Management-System der Seite und betraf veröffentlichte Seiten und Links. Auf den darunterliegenden Server-Stack erhielten die Angreifer den Entwicklern zufolge keinen Zugriff — insbesondere nicht auf das Host-Dateisystem oder eine weitergehende Kontrolle auf Betriebssystemebene jenseits der vom CMS verwalteten Web-Inhalte.

Betroffen waren ausschließlich die alternativen Windows-Installer-Links und der Link zum Linux-Shell-Installer. Nicht verändert wurden In-App-Updates, die macOS-Downloads sowie die Flatpak-, Winget- und Snap-Pakete und das zentrale JDownloader-JAR-Paket.

Nutzer können die Echtheit eines Installers prüfen, indem sie die Datei mit der rechten Maustaste anklicken, „Eigenschaften" und dann den Reiter „Digitale Signaturen" öffnen. Ist die Datei von „AppWork GmbH" signiert, ist sie legitim; fehlt eine Signatur oder steht dort ein anderer Name, sollte sie gemieden werden.

Eine eigene Analyse der schädlichen Payloads bezeichnete das JDownloader-Team als „außerhalb unseres Aufgabenbereichs", stellte jedoch ein Archiv der manipulierten Installer für weitere Untersuchungen bereit. Der Sicherheitsforscher Thomas Klemenc analysierte die schädlichen Windows-Programme und veröffentlichte Kompromittierungsindikatoren (IOCs). Demnach fungiert die Malware als Loader, der einen stark verschleierten, Python-basierten RAT nachlädt. Dieser arbeite als modulares Bot- und RAT-Framework und erlaube es Angreifern, von den Command-and-Control-Servern (C2) geliefertem Python-Code auszuführen. Klemenc nannte zudem zwei verwendete C2-Server.

Die Analyse des manipulierten Linux-Shell-Installers durch BleepingComputer ergab, dass in das Skript Schadcode eingeschleust wurde, der ein als SVG-Datei getarntes Archiv von „checkinnhotels[.]com" herunterlädt. Das Skript entpackt zwei ELF-Binärdateien namens „pkg" und „systemd-exec", installiert „systemd-exec" als SUID-Root-Binary unter „/usr/bin/", kopiert die Haupt-Payload nach „/root/.local/share/.pkg", legt ein Persistenz-Skript unter „/etc/profile.d/systemd.sh" an und startet die Malware getarnt als „/usr/libexec/upowerd". Die „pkg"-Payload ist mit Pyarmor stark verschleiert, sodass ihre Funktionalität unklar bleibt.

Gefährdet sind nach Angaben von JDownloader nur Nutzer, die die betroffenen Installer während der Kompromittierung heruntergeladen und ausgeführt haben. Da die Malware beliebigen Code ausführen konnte, wird Betroffenen empfohlen, ihr Betriebssystem neu zu installieren. Weil zudem Zugangsdaten kompromittiert worden sein könnten, sollten nach der Bereinigung der Geräte die Passwörter zurückgesetzt werden.

Angreifer haben in diesem Jahr vermehrt die Websites beliebter Software-Tools ins Visier genommen. Im April wurde die CPUID-Website kompromittiert, um Download-Links für die Tools CPU-Z und HWMonitor mit schädlichen Programmen zu hinterlegen. Kürzlich verteilten Angreifer über die kompromittierte DAEMONTOOLS-Website trojanisierte Installer mit einer Backdoor.