Kurzer Nachtrag, da ich am 8. und 9.5.2026 verstärkt offline war und nicht reagieren konnte. Die Webseite JDownloader ist kompromittiert worden und hat einige Zeit lang manipulierte Links zu schädlichen Downloads angeboten. Die Betreiber haben die Webseite JDownloader offline genommen und gesäubert. Derzeit ist jdownloader.org wieder erreichbar und zeigt einen Banner, der auf das Ereignis hinweist. Wer diese Seite für Downloads des JDownloader genutzt hat, sollte prüfen, ob er Malware herunter geladen hat.
Was ist JDownloader?
JDownloader ist ein kostenloser, Open-Source-Downloadmanager, der auf Java basiert. Er automatisiert das Herunterladen von Dateien, insbesondere von Filehostern (z.B. Rapidgator) und Videoportalen (z.B. YouTube), indem er Links sammelt, Downloads verwaltet, Archive entpackt und Wartezeiten umgeht. Die Software ist für Windows, macOS und Linux verfügbar.
jdownloader.org war gehackt
Ich hatte es bereits am Freitag, den 8. Mai 2026 auf X in nachfolgendem Tweet von Pirat-Nation gesehen, der auf die Kompromittierung hinwies.
Der Kanal schrieb, dass die offizielle JDownloader-Website (.org) gehackt worden sei. Die Angreifer hatten die alternative Download-Seite manipuliert und die Windows-EXE-Installationsdateien sowie den Linux-Shell-Installer ausgetauscht.
Den manipulierten Windows-Dateien fehlen gültige digitale Signaturen, sie weisen gefälschte Herausgebernamen wie "Zipline LLC", "The Water Team" oder "Peace Team" auf und werden von Windows Defender und SmartScreen als schädlich eingestuft.
Der Linux-Shell-Installer enthält nun schädlichen Code.
Laut The Pirat Nation seien macOS-Installationsprogramme und JDownloader.jar weiterhin sicher gewesen. Alle bei Nutzern vorhandenen App-Updates (laufende Installationen) sind nicht betroffen. Das Gleiche galt für Pakete von Drittanbietern wie Flatpak, Winget oder Snap (diese nutzen externes Hosting und unveränderte Manifestdateien), schreibt der X-Kanal von The Pirat Nation.
Die Entwickler von JDownloader haben den Vorfall auf Reddit öffentlich bestätigt und arbeiteten daran, die Website wiederherzustellen. Es hieß, dass man keine Windows.exe- oder Linux-Shell-Dateien direkt von jdownloader.org herunterladen solle, bis eine offizielle Entwarnung vorliegt.
Auch Blog-Leser Bolko hat am 8. Mai 2026 im Diskussionsbereich die Warnung:
"JDownload-Webseite kompromittiert und down. Downloads wurden manipuliert." eingestellt und auf den Artikel bei Computer Base hingewiesen. Die Betreiber haben die Seite kurzzeitig offline genommen und den Vorfall bestätigt "Update 1: I can confirm that the site has been compromised".
Bolko schrieb: "Bei reddit gibt es aktuell 13 Update-Meldungen des Betreibers zu diesem Vorfall. Laut Update 4 sind die vom vorher bereits installierten Programm runtergeladenen Updates ok":
"As there has been a question about updates. Those are not compromised, different infra, protected by end-2-end digital signature."
Update 5: "Compromised: linux shell installer link replaced , contains malicious shell code"
Update 6: "Website with the alternative installers has been compromised"
Webseite wieder sicher
Die Betreiber der Webseite haben die Infektion bestätigt und blenden auf Seite jdownloader.org einen Sicherheitshinweis auf den Vorfall ein – die Downloads sind wieder sicher.
Der Vorfall fand am 6. und 7. Mai 2026 statt, ist jetzt aber behoben.
MVP: 2013 – 2016
Wenn ich Bolkos Kommentar richtig verstehe, sind die via jDownloader 2 heruntergeladenen Aktualisierungen intern „sauber", es betrifft demnach „nur" den Programm-Installer selbst von der Webseite?
So langsam wird es interresant, ich sag ja immer wieder lade nicht von dubiosen Seiten runter… wenn man jetzt aber selbst den direkten Download beim Hersteller nicht mehr trauen kann… naja hier muss es einem wenigsten spätestens beim Prüfen der Zertifikate auffallen, gab aber ja auch schon Fälle wo korrekt signierte Malware verbreitet wurde…
wird wirklich herausfordernd ;-P
Zero Thrust, vorherige Analyse in der VM und behavior tracking wird zu Pflicht und nicht mehr nur Kür.
Ich fahre das Modell Hausratte: Mutige "Vorkoster" voraus. Wenn das Update taugt und sicher war kann man es 2 Wochen später auch noch runterladen.
Meine Paranoia bei kritischer Software forciert mich sogar noch den Umweg über Archive.org zu gehen, dann habe ich noch zeitliche Garantien, dass während meiner Wartezeit die Dateien nicht getauscht wurden.
Jeder ein Sieger, der nur das Minimum an nötiger Software für Produktivbetrieb installiert. Alles löschen was man nicht braucht.
In aller Wertschätzung für den betriebenen Aufwand muss dennoch festgehalten werden, dass wir uns hier in Sphären bewegen, die für eine praktische Anwendung kaum noch greifbar sind. Hinzu kommt, dass Plattformen wie archive.org ohne erkennbare Zurückhaltung nahezu alles konservieren, was ihnen vor die digitalen Füße fällt – einschließlich vollständiger Abbilder kompromittierter Webseiten, die dort wie eingefrorene Zeitkapseln herumliegen.
Ebenso erscheint die Vorstellung, der durchschnittliche Nutzer möge routinemäßig die Authentizität von Installationsdateien anhand kryptografischer Herstellerzertifikate überprüfen, eher theoretischer Natur. Spätestens wenn selbst diese Zertifikate potenziell gefälscht, missbraucht oder anderweitig kompromittiert werden können, verabschiedet sich der sprichwörtliche „Normalanwender" endgültig aus dem Geschehen.
Würde man nun – der inneren Logik folgend – postulieren, Software dürfe ausschließlich über offizielle Stores bezogen werden, wäre der kollektive Aufschrei nicht nur vorhersehbar, sondern in vielerlei Hinsicht berechtigt. Und dennoch zeigt der Blick auf die Realität der App‑Stores von Google und Apple, dass selbst diese vermeintlich kontrollierten Ökosysteme keineswegs die erhoffte Unangreifbarkeit gewährleisten.
Ps: Damit "Anonym" nicht mehr über meine Ähnlichkeit zu Gänsi schwurbeln kann, hab ich meinen Beitrag von Copilot umschwurbeln lassen, klingt wie mein Anwalt. Viel Spaß!
Ich hatte ja hier schon geätzt und gespien:
https://borncity.com/blog/2026/05/09/nachlese-zum-daemon-tools-supply-chain-angriff/#comment-255014
Warum geht das bei meinem Arbeitgeber (300 Personen, 10M Gewinn) die certs auf USB-Dongle-HSMs im Wandtresor zu haben, aber nicht bei anderen GmbHs? Eine kompromittierte Seite ist ein Anfängerfehler wie falsch konfiguriert oder veraltete nginx version.
Aber signiert und das offiziell zeigt interne Probleme größerer Natur auf.
Solange ich da kein Audit machen kann ist *jeder* im Prinzip auf immer verdächtig. Erinnert an manchen Github-Kasper und 2FA-Verweigerer. (Ja ich mach jetzt TOTP statt FIDO2 und lass mich phishen). Und dann ist ein 30k Sterne projekt von einer supply chain attack betroffen. Habe den dev und das repo vergessen, aber hier ist auch nicht der Ort zum mit dem Finger auf Personen zeigen.
Warum sollen wir Updates sofort ausrollen, wenn der Anbieter nicht mal seine Server up-to-date hat? Warum soll ich certs trauen, wenn die beim Anbieten auf zugänglichen Webserver (sogar ganz ohne Passwort, security at rest) liegen?
Von daher weiss ich jetzt gar nicht ob Ihr Beitrag mir zustimmt oder nicht.
Da würde ich gerne Stellung nehmen: Google hat wohl keinen Bock? Mozilla macht Addon reviews für Addons mit sehr hoher Nutzerzahl (uBO), das ist pro-aktive sicherheit die Geld kostet.
Playstore: Der Klassiker, Die Taschenlampen-App will GPS-Zugriff (könnte ein Reviewer, wenn vorhanden, beanstanden). Zum Glück hat jedes Phone heute nativ eine Flashlight-Funktion in der Menüleiste.
Ich lasse Mutige vorkosten. Auch die Pizza schmeckt nach 5 Min besser als frisch aus dem 220°C heißen gemauertem Ofen. Sollen sich andere verbrennen. Ich habe ja vor einer Weile geätzt, warum alle zu Win 11 losgallopiert sind und sich dann wundern, das es nervig wie zum Start von Win 10 war. Man migriert erst wenn die ESU der Vorversion endet.
JD macht ständig automatische Updates, wenn man das zulässt. Sind diese Updates auch betroffen? Gibt es dazu weitere Informationen?
@EDV-Opa: Nein. Automatische Updates waren nicht betroffen.
Und wie AppWorks, der Hersteller von jdownloader, diesen Incident gehandhabt hat, finde ich wirklich vorbildlich, auch in Hinblick auf die Kommunikation!
Kann man das wirklich wissen? Wenn du gehackt wurdest kannst du nichst sicher wissen! DA heisst es abzuwarten ob da nicht noch mehr kommt!
Denn das ist lediglich die Aussage von "Jemanden der sich hacken" hat lassen, wie vertrauenswürdig das dann noch ist… ist zweifelhaft! Wären die so gut das wirklich 100% sicher sagen zu können, wären sie erst gar nicht gehackt worden.
Ich kenne mich da nicht wirklich so gut aus, aber wenn die gehackte Page auf einem anderen Server liegt, und nur die Seite (Page) gehackt wurde um dann den "Link"
zum Installer zu verändern, sind doch die "richtigen" Dateien, sowie die Updates,
gar nicht betroffen gewesen.
Das sollte der Anbieter der Software schon wissen können, oder meinst Du nicht?
Alles gute nachträglich zum Geburtstag!
Den Tag konnte ich mir gut merken, ging mir ähnlich ☺️
Grüße Kevin