VELEVO® Statement
Im Mai 2026 kam es bei JDownloader zu einem Sicherheitsvorfall auf der offiziellen Website.
Wichtig ist die genaue Einordnung.
Nach Angaben von JDownloader wurden nicht die originalen Installer-Pakete selbst verändert. Manipuliert wurden bestimmte Download-Links auf der Website. Dadurch konnten Nutzer unter bestimmten Umständen nicht die vorgesehenen JDownloader-Installer erhalten, sondern schädliche Dateien von externen Quellen.
Für dich zählt jetzt eine einfache Frage.
Hast du zwischen dem 6. und 7. Mai 2026 UTC einen JDownloader-Installer über die offizielle Website heruntergeladen und danach ausgeführt?
Wenn ja, solltest du prüfen.
Wenn nein, bist du nach aktuellem Stand sehr wahrscheinlich nicht betroffen.
Besonders wichtig. Die internen Updates innerhalb von JDownloader waren laut Hersteller nicht betroffen. Der eingebaute Updater ist RSA-signiert und kryptografisch geprüft.
Der Fall zeigt trotzdem etwas Grundsätzliches.
Offiziell heißt nicht automatisch sicher. Vertrauen muss überprüfbar bleiben. Mit Signaturen. Mit SHA256-Werten. Mit aktuellen Systemen. Mit gesundem Misstrauen gegenüber Warnungen, die plötzlich auftauchen.
Wer muss jetzt aufpassen?
Du gehörst nur dann zur möglichen Risikogruppe, wenn mehrere Punkte zusammenkommen.
- Du hast im Zeitraum vom 6. bis 7. Mai 2026 UTC von jdownloader.org heruntergeladen.
- Du hast einen der betroffenen Website-Links genutzt.
- Du hast die Datei ausgeführt.
Betroffen waren vor allem diese Bereiche.
|
Bereich |
Status |
|
Windows Download Alternative Installer |
potentiell betroffen |
|
Linux Shell Installer von der Website |
potentiell betroffen |
|
Normale Installer außerhalb dieser betroffenen Links |
laut JDownloader nicht betroffen |
|
Bestehende Installationen |
nicht betroffen, sofern kein schädlicher Installer ausgeführt wurde |
|
In-App-Updates innerhalb von JDownloader |
nicht betroffen |
|
Installationen aus anderen Quellen |
nicht Teil dieses Website-Incidents |
Wichtig ist der Unterschied zwischen Download und Ausführung.
Wenn du eine Datei nur heruntergeladen, aber nie gestartet hast, ist das Risiko deutlich geringer. Lösche die Datei und lade später eine frische Version aus einer geprüften Quelle.
Was ist passiert?
Angreifer konnten Inhalte bzw. Download-Ziele auf der offiziellen JDownloader-Website verändern.
Das bedeutet. Die eigentliche Software wurde laut Hersteller nicht direkt im Repository manipuliert. Auch die originalen Installer-Pakete wurden laut JDownloader nicht verändert.
Manipuliert wurde die Auslieferungsschicht.
Bestimmte Links auf der Website zeigten nicht mehr auf die legitimen JDownloader-Installer, sondern auf externe schädliche Dateien.
Aus technischer Sicht ist das ein klassischer Distribution-Layer-Angriff.
Nicht die Anwendung selbst war der erste Angriffspunkt. Sondern der Weg, über den Nutzer die Anwendung herunterladen.
Genau das macht den Fall so relevant.
Viele Nutzer vertrauen offiziellen Websites. Und meistens ist das auch richtig. Aber dieser Vorfall zeigt. Auch eine offizielle Website braucht technische Prüfung.
Zeitlinie des Vorfalls
|
Zeitpunkt UTC |
Ereignis |
|
5. Mai 2026, ca. 23:55 UTC |
Angreifer testeten ihr Vorgehen offenbar auf einer wenig besuchten Seite. |
|
6. Mai 2026, ca. 00:01 UTC |
Einzelne Download-Links auf jdownloader.org wurden verändert. |
|
6. bis 7. Mai 2026 |
Haupt-Risikofenster für Downloads über die manipulierten Links. |
|
7. Mai 2026, 17:06 UTC |
JDownloader wurde über verdächtige Downloads und Warnungen informiert. |
|
7. Mai 2026, 17:24 UTC |
Die Website wurde abgeschaltet. |
|
7. bis 8. Mai 2026 |
Schädliche Link-Ziele wurden entfernt. Legitime Installer-Links wurden wiederhergestellt. Die Konfiguration wurde gehärtet. |
|
Nacht vom 8. auf den 9. Mai 2026 |
Die Website ging nach weiteren Prüfungen wieder online. |
Die Timeline ist wichtig. Nicht jeder JDownloader-Nutzer ist betroffen. Entscheidend ist, ob du im Risikofenster einen betroffenen Link genutzt und die Datei ausgeführt hast.
Was war betroffen?
Windows
Betroffen waren laut JDownloader nur die Download-Links für den Bereich „Download Alternative Installer“.
Diese Links konnten Nutzer auf fremde schädliche Downloads leiten.
Andere Installer auf derselben Seite waren laut Hersteller nicht betroffen.
Ein starkes Warnsignal war die digitale Signatur.
Echte JDownloader-Installer sollten als Herausgeber AppWork GmbH anzeigen. Wenn ein Installer einen unbekannten Herausgeber zeigt, keine gültige Signatur hat oder Windows SmartScreen warnt, solltest du ihn nicht ausführen.
Linux
Beim Linux Shell Installer konnte ein ausgetauschter Link zu einem Shell-basierten Installer führen, der schädliche Befehle enthalten konnte.
Auch hier gilt. Nicht erneut starten. Erst Hash, Dateigröße und Quelle prüfen.
Was war nicht betroffen?
Laut JDownloader waren diese Bereiche nicht betroffen.
|
Bereich |
Status |
|
In-App-Updates innerhalb von JDownloader |
nicht betroffen |
|
Bereits installierte JDownloader-Versionen |
nicht betroffen, sofern kein schädlicher Installer ausgeführt wurde |
|
Originale JDownloader-Installer-Pakete |
laut Hersteller nicht verändert |
|
Breiter Zugriff auf Host-Dateisystem oder Serverbetriebssystem |
laut Hersteller nicht festgestellt |
|
Andere Download-Pfade außerhalb der genannten Links |
nicht Teil dieses konkreten Vorfalls |
Der wichtigste Punkt.
Dieser Vorfall betraf nicht die Updates, die innerhalb von JDownloader ausgeliefert wurden.
Der eingebaute Updater ist laut JDownloader RSA-signiert und kryptografisch geprüft. Dieser Update-Kanal war unabhängig von den manipulierten Website-Links.
Bekannte schädliche Dateien und SHA256-Werte
JDownloader veröffentlichte bekannte SHA256-Prüfsummen und exakte Dateigrößen der beobachteten schädlichen Ersatzdateien.
Vergleiche immer Hash und Dateigröße zusammen.
Ein Treffer ist ein starkes Warnsignal. Nicht ausführen. Löschen. Frischen Installer aus geprüfter Quelle verwenden.
|
Beobachteter Dateiname |
Größe in Bytes |
SHA256 |
|
JDownloader2Setup_unix_nojre.sh |
7.934.496 |
6d975c05ef7a164707fa359284a31bfe0b1681fe0319819cb9e2c4eec2a1a8af |
|
JDownloader2Setup_windows-amd64_v11_0_30.exe |
104.910.336 |
fb1e3fe4d18927ff82cffb3f82a0b4ffb7280c85db5a8a8b6f6a1ac30a7e7ed9 |
|
JDownloader2Setup_windows-amd64_v17_0_18.exe |
101.420.032 |
04cb9f0bca6e0e4ed30bc92726590724bf60938440b3825252657d1b3af45495 |
|
JDownloader2Setup_windows-amd64_v1_8_0_482.exe |
61.749.248 |
5a6636ce490789d7f26aaa86e50bd65c7330f8e6a7c32418740c1d009fb12ef3 |
|
JDownloader2Setup_windows-amd64_v21_0_10.exe |
107.124.736 |
32891c0080442bf0a0c5658ada2c3845435b4e09b114599a516248723aad7805 |
|
JDownloader2Setup_windows-x86_v11_0_29.exe |
87.157.760 |
de8b2bdfc61d63585329b8cfca2a012476b46387435410b995aeae5b502bd95e |
|
JDownloader2Setup_windows-x86_v17_0_17.exe |
86.576.128 |
e4a20f746b7dd19b8d9601b884e67c8166ea9676b917adea6833b695ba13de16 |
|
JDownloader2Setup_windows-x86_v1_8_0_472.exe |
62.498.304 |
4ff7eec9e69b6008b77de1b6e5c0d18aa717f625458d80da610cb170c784e97c |
So prüfst du den SHA256-Wert unter Windows
Öffne PowerShell.
Get-FileHash „C:\Pfad\zur\Datei.exe“ -Algorithm SHA256
Vergleiche den ausgegebenen Wert mit der Tabelle.
Prüfe zusätzlich die digitale Signatur.
- Rechtsklick auf die Datei.
- Eigenschaften öffnen.
- Digitale Signaturen prüfen.
- Der Herausgeber sollte AppWork GmbH sein.
Wenn die Signatur fehlt, der Herausgeber unbekannt ist oder Windows warnt, starte die Datei nicht.
So prüfst du den SHA256-Wert unter Linux
Öffne das Terminal.
sha256sum JDownloader2Setup_unix_nojre.sh
Vergleiche den Hash mit der Tabelle.
Wenn Hash und Dateigröße übereinstimmen, handelt es sich sehr wahrscheinlich um eine der bekannten schädlichen Ersatzdateien.
Nicht starten. Löschen. Frischen Installer aus geprüfter Quelle verwenden.
Was empfiehlt JDownloader?
Wenn du die Datei nie gestartet hast
Lösche die Datei.
Lade später einen frischen Installer aus einer geprüften Quelle herunter.
In der Regel ist dann nichts passiert.
Wenn du die Datei gestartet hast
Wenn du nicht ausschließen kannst, dass du einen schädlichen Installer ausgeführt hast, empfiehlt JDownloader eine saubere Neuinstallation des Betriebssystems.
Das klingt hart. Ist aber nachvollziehbar.
Ein Antivirus-Scan kann Risiken reduzieren. Er kann aber nicht immer beweisen, dass wirklich alle Persistenzmechanismen entfernt wurden.
Wenn du unsicher bist
- Führe einen vollständigen Scan mit aktueller Schutzsoftware durch.
- Prüfe unbekannte Programme.
- Prüfe Autostart-Einträge.
- Nutze das Gerät vorerst nicht für sensible Logins.
- Ändere wichtige Passwörter von einem anderen, sauberen Gerät.
- Stelle persönliche Dateien nur aus vertrauenswürdigen Backups wieder her.
Warum Patching jetzt wichtig ist
Dieser Vorfall zeigt, warum aktuelle Systeme wichtig sind.
SmartScreen. Defender. Browser-Warnungen. Digitale Signaturen. Aktuelle Betriebssysteme.
Das sind keine störenden Meldungen. Das sind Schutzschichten.
Wenn ein offizieller Download-Link manipuliert wird, bleiben manchmal genau diese Schutzschichten als letzte Barriere.
- Halte dein System aktuell.
- Ignoriere keine Warnungen.
- Deaktiviere keinen Echtzeitschutz, nur weil ein Installer sonst nicht startet.
- Prüfe Signaturen.
- Prüfe Hashes.
- Lade im Zweifel später erneut herunter.
VELEVO® Einschätzung
Der JDownloader-Vorfall ist kein einfacher Malware-Fall. Er ist ein Lehrstück über digitales Vertrauen.
Die Anwendung selbst kann sauber sein. Der Download-Weg kann trotzdem kompromittiert werden.
Genau dort liegt das moderne Risiko.
Nicht jeder Angriff beginnt im Code. Manche Angriffe beginnen im CMS. In einem Link. In einer Download-Schaltfläche, der du vertraust.
Für Nutzer bedeutet das. Offizielle Websites bleiben wichtig. Aber sie reichen nicht allein.
Für IT-Teams bedeutet das. Download-Prozesse brauchen Standards. Signaturprüfung. Hash-Verifikation. Endpoint-Schutz. Saubere Paketquellen. Klare Incident-Prozesse.
Aus Sicht von VELEVO® ist die wichtigste Lehre einfach.
Vertrauen ist gut. Prüfbarkeit ist besser.
0 Kommentare