Die offizielle Website des deutschen Download-Managers JDownloader hat zwischen dem 6. und 7. Mai 2026 Malware ausgeliefert. Angreifer manipulierten die CMS-basierten Download-Links und tauschten die Windows- und Linux-Installer gegen eine Python-RAT-Backdoor. Hersteller AppWork GmbH aus Tübingen hat den Vorfall am 8. Mai eingeräumt und die Website am 9. Mai wieder freigeschaltet. Wer in dem 24-Stunden-Fenster heruntergeladen hat, sollte das Betriebssystem neu installieren.
drweb.de als bevorzugte Quelle auf Google hinzufügenQualitätsgeprüfte Inhalte direkt in Google News & DiscoverJetzt hinzufügen
Hand aufs Herz: Wie oft prüfen Sie die digitale Signatur einer Software, die Sie von der Hersteller-Website laden? Wenn die Antwort „nie“ lautet, gehören Sie zur breiten Mehrheit. Genau diese Mehrheit war zwischen Mittwoch und Donnerstag letzter Woche von einem klassischen Supply-Chain-Angriff betroffen.
Das Wichtigste in Kürze
- JDownloader-Website zwischen 6. und 7. Mai 2026 kompromittiert
- Angriffsvektor: ungepatchte CMS-Lücke, keine Server-Übernahme
- Manipulierte Installer für Windows-Alternative und Linux-Shell
- Microsoft Defender und SmartScreen schlugen sofort Alarm
Wie der Angriff technisch ablief
JDownloader gehört zur Tübinger AppWork GmbH, der Download-Manager hat weltweit Millionen Nutzer. Am 6. Mai 2026 nutzten Angreifer eine ungepatchte Schwachstelle im CMS der offiziellen Website, um Zugriffskontrolllisten und Inhalte ohne Authentifizierung zu verändern. Konkret manipuliert wurden zwei Download-Links: der Windows-„Download Alternative Installer“ und der Linux-Shell-Installer.
Wer in diesem 24-Stunden-Fenster eine dieser beiden Varianten herunterlud, bekam keinen Original-JDownloader, sondern einen Loader, der einen stark verschleierten Python-RAT installierte. Auf Linux-Systemen wurde zusätzlich Persistenz im Init-System angelegt. AppWork betont in seinem Incident Report, dass das Server-Betriebssystem selbst nicht kompromittiert wurde. Der Angreifer hatte ausschließlich CMS-Rechte.
Wie der Vorfall ans Licht kam
Ein Reddit-Nutzer mit dem Handle PrinceOfNightSky meldete am 7. Mai, dass Microsoft Defender und SmartScreen die heruntergeladenen Installer als bösartig erkannten. Verdächtig war der Herausgeber-Name: „Zipline LLC“ oder „The Water Team“ statt des legitimen Eintrags „AppWork GmbH“. Die JDownloader-Entwickler bestätigten den Vorfall binnen Stunden, nahmen die Website offline und begannen mit der Aufarbeitung.
AppWork schreibt in der offiziellen Stellungnahme via Bleeping Computer, dass nur die Download-Links manipuliert wurden, nicht die ausgelieferten Installer-Pakete selbst. Wer die Hauptversion über In-App-Updates, macOS-Downloads, Flatpak, Winget, Snap oder die JDownloader-JAR-Variante bezog, ist nicht betroffen.
Der JDownloader-Vorfall zeigt zwei Dinge. Erstens: Auch kleine deutsche Softwarehersteller stehen im Fadenkreuz globaler Supply-Chain-Angriffe. Zweitens: Digitale Signaturen sind keine bürokratische Pflicht, sondern das letzte Bollwerk vor Malware. Wer Installer ohne Signaturprüfung ausführt, lädt zur Übernahme ein.
— Michael Dobler, Herausgeber Dr. Web
Was Betroffene jetzt tun müssen
Was ist zu tun? Erstens das Betriebssystem komplett neu installieren. Ein einfacher Virenscan reicht nicht, weil der Python-RAT modular nachladbar ist und persistierende Mechanismen anlegt. Zweitens alle Passwörter ändern, die auf dem System gespeichert oder eingegeben wurden — von Browsern bis zu E-Mail-Konten.
Drittens als Prävention die digitale Signatur jedes Installers prüfen, bevor er ausgeführt wird. Rechtsklick auf die exe, Eigenschaften, Reiter „Digitale Signaturen“. Bei JDownloader muss dort „AppWork GmbH“ stehen. Wer ohnehin Sicherheit härtet, sollte zusätzlich die Grundprinzipien der WordPress-Sicherheit auf eigene Websites übertragen — auch dort beginnen Supply-Chain-Angriffe oft mit CMS-Lücken.
Mehr Newshunger?
