Manipulierte Downloads: Website von JDown­loader kom­promittiert und derzeit offline

Die Heimat des bekannten Download-Managers JDownloader ist in der Nacht auf Mittwoch Ziel eines Angriffs geworden. Nach ersten Erkenntnissen gelangten Angreifer über eine ungepatchte Schwachstelle in das System und manipulierten dort Links, die zu geänderten Download-Dateien führten. Die Website bleibt derzeit weiterhin offline.

Dies haben die Entwickler in einem Beitrag auf Reddit mitgeteilt und bestätigten gleichzeitig, dass die alternative Download-Seite des Managers kompromittiert und für weitere Untersuchungen vorübergehend abgeschaltet wurde.

Schwachstelle ausgenutzt um Links zu ersetzen

Den bisherigen Erkenntnissen zufolge zielte der Angriff darauf ab, Inhalte der Website zu verändern und Download-Links auszutauschen. Zahlreichen der darüber zu beziehenden Dateien sollen digitale Signaturen fehlen, wodurch diese ein erhebliches Sicherheitsrisiko darstellen würden. Unter Windows habe SmartScreen die Ausführung der Dateien jedoch in vielen Fällen blockiert oder zumindest eine Warnung ausgegeben und so die Systeme der Anwender geschützt. Auch die Shell-Installationslinks für Linux sollen laut den Entwicklern manipuliert worden sein und die Dateien schadhaften Shell-Code enthalten haben. Nicht betroffen seien hingegen die macOS-Versionen, die weiterhin über gültige Signaturen verfügen sollen.

Nicht alle Dateien betroffen

Für Anwender, die JDownloader über Docker-Images von Drittanbietern beziehen, bestehe laut den Entwicklern keine Gefahr. Die dafür verwendete JDownloader.jar werde aus einer anderen Infrastruktur geladen und sei deshalb nicht kompromittiert worden. Gleiches gelte für Dateien, die über Flatpak oder Winget verteilt werden. Diese Infrastruktur gehöre ebenfalls nicht zu den von den Entwicklern betriebenen Systemen, zudem habe eine Überprüfung keine Auffälligkeiten ergeben. Dasselbe treffe auf Snap-Pakete zu, die ebenfalls eine eigene JDownloader.jar enthalten und daher unverändert geblieben seien. Auch die für Updates genutzten Dateien sollen nicht betroffen sein, da hierfür ebenso eine separate Infrastruktur verwendet werde und diese zusätzlich durch eine End-to-End-Digitalsignatur abgesichert seien.

Angriff blieb einige Zeit unentdeckt

Der Angriff soll sich bereits am Mittwoch gegen zwei Uhr nachts ereignet haben, entdeckt wurde er den Einträgen zufolge allerdings erst gestern. Damit könnten bereits manipulierte Dateien heruntergeladen worden sein. Als Ursache identifizierten die Entwickler eine ungepatchte Sicherheitslücke, über die sich die Access Control List (ACL) ohne Authentifizierung verändern ließ. Dadurch konnten die Bearbeitungsrechte auf „alle“ gesetzt und anschließend die Download-Links manipuliert werden. Die Log-Dateien sollen zudem zeigen, dass der Angreifer sein Vorgehen zunächst auf einer Dummy-Seite testete, bevor später die eigentliche alternative JDownloader-Seite angegriffen wurde.

Seite bleibt zunächst offline

Die manipulierte Website sowie die kompromittierten Dateien seien bereits kurz nach dem Vorfall mithilfe vorhandener Backups wiederhergestellt und die Serverkonfiguration überprüft worden. Dennoch soll die Seite bis zum späten heutigen Freitag offline bleiben, bis sämtliche notwendigen Patches installiert und alle Konfigurationen abgesichert seien.

Auch andere Anwendungen in der Vergangenheit betroffen

Angriffe dieser Art sind inzwischen keine Seltenheit mehr. So berichtete der Entwickler des bekannten Texteditors Notepad++, Don Ho, bereits im Dezember vergangenen Jahres, dass über die Update-Funktion der Anwendung fremde Daten eingeschleust werden konnten. Ausgangspunkt sei damals die Infrastruktur des Providers gewesen, bei dem die Update-Server gehostet wurden. Betroffen war der von Notepad++ genutzte Updater WinGUp, über den anschließend manipulierte Aktualisierungen verteilt werden konnten.

Laut Ho sollen die Angreifer zwischen Juni 2025 und Dezember 2025 Zugriff auf die Update-Server gehabt haben. Als Reaktion auf den Vorfall wechselte der Entwickler kurze Zeit später den Hoster. Für Anwender bedeutete der Vorfall, dass die bereinigte Version 8.8.9 zunächst manuell installiert werden musste, da die Verteilung nicht über den integrierten Updater erfolgen konnte. Erst ab dieser Version ließen sich neue Ausgaben wieder regulär über die interne Aktualisierungsfunktion beziehen und einspielen.

Auch Download über ComputerBase betroffen

Auch der Download über das ComputerBase-Download-Archiv war betroffen, denn darüber wurden nicht direkt die korrekten Dateien, sondern die kompromittiert Download-Seite von JDownloader selbst verlinkt. Laut internen Statistiken wurde diese Seite bis zum Abschalten über den Download auf ComputerBase aber nur fünf Mal aufgerufen.