Nur wenige Tage nach dem Bekanntwerden des Supply-Chain-Angriffs auf DAEMON Tools trifft es das nächste populäre Windows-Tool: Die offizielle Website von JDownloader, einem weit verbreiteten kostenlosen Download-Manager, wurde Anfang Mai 2026 kompromittiert.

Zwischen dem 6. und 7. Mai 2026 leiteten manipulierte Download-Links auf der Seite jdownloader.org Nutzer auf bösartige Installer-Pakete um, statt auf die legitimen Installationsdateien. Betroffen waren ausschließlich die Windows-Links unter "Download Alternative Installer" sowie der Linux-Shell-Installer – alle anderen Download-Wege, darunter In-App-Updates, Flatpak, Winget und Snap-Pakete, blieben unberührt.

Ungepatchte CMS-Lücke als Einstieg

Wie die JDownloader-Entwickler in ihrem Vorfallsbericht erläutern, nutzten die Angreifer eine ungepatchte Sicherheitslücke im Content-Management-System der Website aus. Über diesen Weg veränderten sie die Zugriffsrechte und tauschten die Download-Links aus, ohne Zugriff auf die darunterliegende Server-Infrastruktur oder das Dateisystem zu erlangen. Die eigentlichen Installer-Pakete wurden dabei nicht verändert – nur die Zieladressen der verlinkten Downloads wurden umgeleitet.

Sicherheitsforscher haben die Schadsoftware inzwischen analysiert: Der manipulierte Windows-Installer lieferte einen stark verschleierten, modularen Python-basierten Remote-Access-Trojaner (RAT) aus, der beliebigen Code von Kontrollservern nachladen und ausführen kann. Der Linux-Shell-Installer enthielt eingeschleusten Schadcode, der zusätzliche Malware nachlädt und sich mit Root-Rechten im System verankert.

Signatur von unbekanntem Herausgeber

Aufmerksam auf den Angriff wurde die Community am 7. Mai durch einen Reddit-Nutzer, der bemerkte, dass der frisch heruntergeladene Installer von Windows SmartScreen mit einem unbekannten Herausgeber – "Zipline LLC" statt des erwarteten "AppWork GmbH" – markiert wurde. Um 17:06 Uhr UTC bestätigten die Entwickler den Vorfall; bereits um 17:24 Uhr schalteten sie den Server ab.

Die Auswertung zeigt, dass die Angreifer ihr Vorgehen bereits am Abend des 5. Mai auf einer wenig frequentierten Unterseite getestet hatten, bevor sie in der Nacht zum 6. Mai die eigentlichen Download-Links manipulierten. In der Nacht vom 8. auf den 9. Mai nahmen die Entwickler die Website nach eingehender Prüfung wieder in Betrieb.

Serie von Angriffen auf Tools

Der Fall reiht sich nahtlos in eine beunruhigende Serie von Angriffen auf populäre Software-Tools ein. Bereits Anfang Mai hatte Kaspersky aufgedeckt, dass DAEMON Tools-Installer seit dem 8. April 2026 mit einer Backdoor versehen waren. Davor traf es im April die CPUID-Website, über die manipulierte Versionen von CPU-Z und HWMonitor verteilt wurden. Das Muster ähnelt sich: Angreifer greifen nicht die Software selbst an, sondern deren Verteilungsweg – und nutzen das Vertrauen der Nutzer in bekannte, etablierte Tools gezielt aus.

Wer JDownloader zwischen dem 6. und 7. Mai über die betroffenen Links heruntergeladen und ausgeführt hat, sollte nach Empfehlung der Entwickler das Betriebssystem vollständig neu aufsetzen, da Antivirensoftware versteckte Persistenzmechanismen nicht zuverlässig entfernt. Außerdem raten die Entwickler dazu, Passwörter für wichtige Konten von einem anderen, nicht betroffenen Gerät aus zu ändern.

Wer unsicher ist, ob die heruntergeladene Datei betroffen war, kann deren SHA256-Prüfsumme mit den vom Hersteller veröffentlichten Hashwerten der schädlichen Dateien abgleichen. Echte JDownloader-Installer tragen die digitale Signatur von AppWork GmbH – fehlt diese oder zeigt sie einen anderen Herausgeber, sollte die Datei nicht ausgeführt werden.