JDownloader hat einen Sicherheitsvorfall auf der eigenen Website bestätigt. Betroffen war dabei nicht die eigentliche Anwendung oder der integrierte Updater, sondern bestimmte Download-Links auf jdownloader.org. Angreifer konnten diese Links zeitweise manipulieren und Nutzer dadurch auf schädliche Dateien umleiten. Laut den veröffentlichten Informationen ereignete sich der Vorfall zwischen dem 6. und 7. Mai 2026. Konkret betroffen waren unter Windows ausschließlich die sogenannten „Download Alternative Installer“ sowie unter Linux ein Shell-Installer-Link. Andere Installationswege, bestehende Installationen und In-App-Updates sollen nicht betroffen gewesen sein.
Angreifer manipulierten CMS-Inhalte
Besonders relevant ist dabei die technische Einordnung. Nach Angaben von JDownloader erfolgte die Manipulation über das eingesetzte Content-Management-System der Website. Die Angreifer sollen keinen Zugriff auf die eigentliche Server-Infrastruktur oder das Dateisystem gehabt haben. Stattdessen wurden ausschließlich die im CMS hinterlegten Download-Ziele verändert. Dadurch verwiesen bestimmte Installer-Links zeitweise nicht mehr auf die originalen JDownloader-Dateien, sondern auf fremde Schadsoftware. Die echten Installer selbst wurden laut Betreiber nicht verändert. Nachdem der Vorfall bestätigt worden war, nahm das Team die komplette Website zunächst offline. Erst nach Analyse, Bereinigung und zusätzlichen Sicherheitsmaßnahmen ging jdownloader.org wieder online.
DNSSEC- und Infrastrukturprobleme nicht beteiligt
Interessant ist zudem, dass JDownloader den Ablauf ungewöhnlich transparent dokumentiert. Die Betreiber stellen klar, dass es sich nicht um einen Angriff auf den Updater oder die eigentlichen Installationspakete handelte. Gerade diese Unterscheidung dürfte für viele Nutzer entscheidend sein. In-App-Updates seien weiterhin RSA-signiert und kryptografisch abgesichert. Der Vorfall betreffe ausschließlich Downloads über die manipulierten Website-Links im genannten Zeitraum.
Nutzer sollen Dateien prüfen
Besonders kritisch wird es für Nutzer, die einen der betroffenen Installer heruntergeladen und ausgeführt haben. JDownloader empfiehlt in solchen Fällen ausdrücklich eine komplette Neuinstallation des Betriebssystems, sofern sich eine Ausführung der schädlichen Datei nicht sicher ausschließen lässt. Zusätzlich veröffentlichte das Projekt konkrete SHA256-Prüfsummen sowie Dateigrößen der bekannten Schaddateien. Dadurch können Nutzer vorhandene Installer-Dateien gezielt überprüfen. Unter Windows raten die Entwickler außerdem dazu, digitale Signaturen grundsätzlich zu kontrollieren. Echte Installer sollen mit „AppWork GmbH“ signiert sein. Fehlende oder unbekannte Herausgeber gelten dagegen als Warnsignal.
Nur bestimmte Nutzergruppen betroffen
Nicht jeder Nutzer ist automatisch betroffen. Laut JDownloader beschränkt sich das Risiko auf Personen, die zwischen dem 6. und 7. Mai 2026 explizit die manipulierten Website-Links genutzt haben. Wer bestehende Installationen verwendet, In-App-Updates durchgeführt oder Installer aus anderen Quellen genutzt hat, soll nicht betroffen sein. Trotzdem zeigt der Vorfall erneut, wie attraktiv selbst etablierte Download-Plattformen für Angreifer bleiben. Besonders problematisch ist dabei, dass nicht die Software selbst kompromittiert wurde, sondern die Vertrauenskette rund um den Download-Prozess.
JDownloader sieht Vorfall inzwischen als behoben an
Nach eigenen Angaben wurde die Sicherheitslücke inzwischen geschlossen. Die manipulierten Verweise seien entfernt, die Website gehärtet und alle Download-Links überprüft worden. Seit der Nacht vom 8. auf den 9. Mai läuft der öffentliche Betrieb laut Betreiber wieder regulär. Wer dennoch unsicher ist, sollte vorhandene Installer-Dateien prüfen, Sicherheitswarnungen ernst nehmen und im Zweifel lieber einen frischen Download von der offiziellen Website durchführen.
So ist das, wenn man schlampig programmiert oder CMS von der Stange à la WordPress und Co. benutzt, womit man sich sicherheitstechnisch abhängig macht. Man macht sich dann über Spenden und das Einbinden von Bannern und Trackern mehr Gedanken als um alles andere. Wenn ich so ein Tool, welches eigentlich niemand braucht, hobbymäßig mache, dann, weil ich es den Leuten geben will ohne irgendwelche Gegenleistungen, aber so sind heute fast alle… leider. Das Netz von damals, wo jeder aus Leidenschaft sowas gemacht hat, ist lange vorbei; heute will jeder aus irgendwelchen Scheiß Profit schlagen. Der eine mit Bannern der andere mit Spenden oder Trackern usw.
Braucht keiner?
Wie lädst Du Dir nur das Audio von YouTube runter?
Wie Files von z.B. One-Click-Hoster?
Frag nur für’n Freund.
Also Video mit 2r apps von MS Store tubber und utube dl
und eben dieser 1 klick Hoster 90% illegal. Programme spiele alles wird geklaut. brr
Bitte kontrolliere deine Texte auf Rechtschreibung vor dem Absenden. Vielen Dank.
Man versteht kaum ein Wort von dem was du schreibst.
Wenn ich nur wüsste, was Du sagen willst.
utube dl ?
tubber, meinst Du Tupper? Und was haben Frischhaltedosen mit dem Thema zu tun?
Und „dieser 1 klick Hoster 90% illegal“, und wenn schon, 10% sind dann immer noch ganz legal!
Dafür kann man eben diesen Downloader dann doch recht gut verwenden!
Utube DL – Video Downloader: https://apps . microsoft . com/detail/9nnbx7h6scsx?hl=de-DE&gl=DE
Tuber – MP3 & Video Downloader: https://apps . microsoft . com/detail/9pjkmf2n0dn2?hl=de-DE&gl=DE
Bitte, gerne. Mit deinen Tupperdosen haste ja nen richtigen Schenkelklopfer rausgehauen. Nicht.
Und an alle: Dieses ständige Rumgehacke auf EynMarc kann ich nicht nachvollziehen. Wir sind hier nicht auf dem Kongress der Deutschlehrer. Und wie MrBuddha schreibt: „Man lernt schnell, diesen User und seine Absonderungen schlicht zu ignorieren …“. Wen die Kommentare von EynMarc stören, kann diese doch einfach ignorieren, sobald man diesen Namen liest. Ist das so schwierig? Oder wollt ihr euch absichtlich darüber aufregen und auskotzen? Ignorieren ist am besten und einfachsten. Aber viele Leute scheinen nicht einmal dazu in der Lage zu sein oder auf diese Idee zu kommen.
Das JDownloader-Team hat in dieser Siuation vorbildlich und professionell reagiert:
https://jdownloader.org/incident_8.5.2026.html?v=20260508277000
Wenn ich das mit dem Hack vom Januar bei einem tunesischen Subunternehmer von ManoMano und fast 40 Millionen geklauten Kundendaten vergleiche, hat dieses kleine JDownloader-Team Hochachtung verdient.
ManoMano hat bis heute nicht ausreichend informiert und speist seine Kunden mit Plattitüden ab.
Genau dafür nutz ich dat Ding.
Also, für Youtube.
was brauch keiner?! jDwonloader? natürlich brauch man den ich benutze den täglich.
Für YouTube habe ich mir nen Skript geschrieben. Damit kann ich wahlweise das Video oder auch nur die Audiospur runterladen. Letztere wird dann im Anschluss automatisch nach MP3 konvertiert. Alternativ habe ich mir noch ne GUI geschrieben, wo ich komfortabel YouTube-Links einfügen (ein Link pro Zeile) und dann mit einem Klick alles runterladen kann. Alle Abhängigkeiten (yt-dlp, deno und ffmpeg) werden automatisch installiert.
Bei One-Click-Hostern nutze ich quasi nur noch FFast. Keine Wartezeit, keine Geschwindigkeitsbeschränkung, keine Captchas, … Damit funktioniert der jDownloader super. Selten mal Datanodes, Mediafire, Gofile oder Mega. Funktioniert ebenfalls einwandfrei mit dem jDownloader. Ich könnte auch alles einzeln anklicken, aber dafür bin ich zu faul. Und nein, da ist nix illegales oder so bei. Es gibt durchaus Leute, die ihr Zeug über One-Click-Hoster verteilen, weil der eigene Server sonst unter der Last zusammenbrechen würde. Vor allem viele kleinere Studios nutzen One-Click-Hoster, um Vorabversionen zum Testen bereitzustellen.
Und seien wir doch mal ehrlich: Wer illegales Zeug von schmierigen Websites runterlädt, dabei stunden- oder gar tagelang für einen popeligen Download braucht, um am Schluss festzustellen, dass das Zeug nicht funktioniert, nicht das ist, was er erwartet hat oder sich dabei noch irgendwas einfängt, ist selber schuld.
wat is ffast? also ich habe keine captures aber ich habe auch ein Multihoster Account. Downloads gehen super schnell. 32 mb/s. leider gibts hier immer noch kein Glasfaser ….. T.T
FFast ist ein One-Click-Hoster, der überwiegend in der Repacker-Scene genutzt wird. Da kann aber nur hochladen, wer in der Scene entsprechend Reputation nachweisen kann. Mehr darf hier dazu nicht schreiben, sonst kommt der Björn und schimpft (und das zu Recht).
noch nie gesehen sehe haupsächtlich filecrypt.cc
obwohl ich das täglich amche
War es nicht bei CPUID vor kurzem dasselbe Problem gewesen ?
Ich meine es war der HWMonitor oder CPU-Z
Da steckt doch dieselbe „Bande“ dahinter und vermutlich derselbige Bug was ? ^^
mfG
ja, so wie ich das lese genau das gleiche problem. ich gehe auch davon aus das es die selbe waren.
ich kann für solche aktionen den 4k-downloader empfehlen…
FREE! mit einschränkungen – mit lebenslanger lizenz für 3 PCs (30 Euro)
…wobei das auch nur für aktuelle! windows versionen gilt… (momentan bei mir win11 – 25H2)
habe meine lizenzen unter windows 7 verloren, nachdem der hersteller win7 nicht mehr unterstützt hat!
…es fällt ihnen halt immer etwas neues ein, um den profit zu maximieren
zu dem omnipotenten „EynMarc“ der zu fast jedem thema immer unleserlich seine kommentare schreibt, habe ich mir angewöhnt, den blödsinn einfach zu überfliegen…
alternative: 4kdownloader
@admin – danke fürs bannen
ist keine alternative. hab ich gerade probiert.
Das ist kein „bannen“, da stand irgendwas, wodurch dein Kommentar in die Warteschleife ging. Wird dir doch auch so angezeigt.
Alternative 2 für Youtube: Open Video Downloader
https://github.com/jely2002/youtube-dl-gui
Derartige Vorfälle sind für die Betreiber natürlich der Supergau, denn wer lädt sich danach noch ohne Bedenken die Anwendung dort herunter? Der identische Vorfall auf der Webseite des Tools CPU-Z dient da wohl als abschreckendes Beispiel, denn nach meinen Informationen sind dort die Downloadzahlen bzw. Seitenaufrufe drastisch eingebrochen.
Denn auch die Entwickler von sog. „freier Software“ finanzieren ihre Server durch Seitenaufrufe.
Zu diesen Hackern ist noch anzumerken, dass es sich dabei sehr wahrscheinlich um „Hacker-Kiddies“, die sich einen Spaß erlauben, handeln dürfte.
Denn welchen Nutzen verspricht man sich irgendwie davon? Es handelt sich ja schließlich um kostenfreie Software, die außerdem keine Nutzerdaten enthält.
Ich nutze für solche Zwecke ClipGrab, um einen weiteren alternativen Vorschlag in den Ring zu werfen.
Bitte nicht von dem im Namen enthaltenen Begriff „Grab“ irritieren lassen.
Mit Friedhof hat das nichts zu tun.^^
Das ist halt die Welt, in der wir aktuell leben. Die Anzahl der Idioten steigt kontinuierlich.
bin schon seit Jahren bei Jdownloader – immer zufrieden – aber seit ein paar Monaten – wird das nix mehr mit dem Reconnect (das meine Fritzbox innerhalb von ein paar Sekunden eine neue IP bekommt) ! Dauert immer ewig und drei Tage …
Aber ich hab ne Alternative gefunden – da brauch ich auch keinen Reconnect mehr
einfach eine kleine Erweiterung für meinen Firefox:
Video DownloadHelper
https://addons.mozilla.org/de/firefox/addon/video-downloadhelper/?utm_source=addons.mozilla.org&utm_medium=referral&utm_content=search
mir hats geholfen
Also, ich finde es schon dreist:
„Besonders kritisch wird es für Nutzer, die einen der betroffenen Installer heruntergeladen und ausgeführt haben. JDownloader empfiehlt in solchen Fällen ausdrücklich eine komplette Neuinstallation des Betriebssystems, sofern sich eine Ausführung der schädlichen Datei nicht sicher ausschließen lässt.“
Klar, einfach System und alle Programme neu installieren, ist wohl die einfachste Lösung, anstatt zu schreiben welche Dateien wirklich kompromittiert sind.
Nunja wer weiß mit Sicherheit das keine Daten nachgeladen wurden welche dadurch manipuliert und ob diese in der Zwischenzeit geändert wurden? DU?
Also lieber auf Nummer sicher gehen
Das war früher(TM) eine generelle Empfehlung bei Viren (oder Würmer) Befall.
Man kann es ja vorher noch mit c’t Desinfect von heise versuchen…
Ich werde aus der Meldung nicht ganz schlau – wen betrifft es denn nun?
Ich habe mir vor Jahren (genauer: 2021) die jdownloader.jar von dort runter geladen und seither nur den internen Updater genutzt. Ich gehe mal davon aus, der ist sauber.
Im Übrigen: Es gibt wenige Downloader, die mit dem JDownloader mithalten können. Vielleicht der native yt-dlp, aber der wird ja auch vom JDownloader genutzt und regelmäßig upgedatet.
Und die Community (und die Programmierer) reagieren schnell.
Die Updates sind auch sauber. Es war nur der „neue“ Installer.