MalwareSchwachstellenHackerangriffe

JDownloader-Website gehackt: Python-RAT in manipulierten Installern entdeckt

Von CyberDeutsch Redaktion
JDownloader-Website gehackt: Python-RAT in manipulierten Installern entdeckt
Zusammenfassung

Die beliebte Download-Manager-Software JDownloader ist Opfer eines Supply-Chain-Angriffs geworden, bei dem Cyberkriminelle die offizielle Website kompromittierten und legitime Installer durch mit Malware verseuchte Versionen ersetzten. Zwischen dem 6. und 7. Mai 2026 wurden Nutzer, die über die alternativen Windows-Installer-Links oder den Linux-Shell-Installer herunterladeten, mit einem Python-basierten Remote-Access-Trojaner infiziert. Die Angreifer exploitierten eine ungepatschte Schwachstelle im Content-Management-System der Website, um Downloadlinks zu manipulieren, ohne auf den zugrundeliegenden Server zuzugreifen. JDownloader hat weltweit millionenfach Nutzer und ist seit über einem Jahrzehnt eine etablierte Lösung zur automatisierten Verwaltung von Downloads aus Datei-Hosting-Diensten und Videoplattformen. Diese Sicherheitsverletzung ist besonders kritisch, da die Malware potenziell vollständige Kontrolle über befallene Systeme ermöglicht – sowohl unter Windows als auch Linux. Für deutsche Nutzer, kleine Unternehmen und größere Organisationen, die JDownloader einsetzen, besteht erhebliches Risiko: Betroffen sind alle, die in diesem Zeitfenster die manipulierten Installer ausführten. Experten empfehlen Neuinstallationen des Betriebssystems und umgehendes Zurücksetzen sämtlicher Passwörter, da Anmeldedaten kompromittiert sein könnten.

JDownloader ist ein weltweit genutztes kostenloses Download-Management-Tool, das seit über einem Jahrzehnt verfügbar ist und auf Windows-, Linux- und macOS-Systemen läuft. Der jüngste Angriff zeigt, wie anfällig auch etablierte Software gegenüber Sicherheitslücken sein kann.

Die Kompromittierung wurde zunächst auf Reddit von einem Nutzer namens „PrinceOfNightSky” gemeldet, der bemerkte, dass Windows Defender die heruntergeladenen Installers als Malware kennzeichnete. Die verdächtigen Dateien waren mit „Zipline LLC” oder „The Water Team” signiert – Namen, die nichts mit dem legitimen Entwickler Appwork GmbH zu tun haben.

Die JDownloader-Entwickler bestätigten später den Sicherheitsbruch und nahmen die Website offline. Laut ihrem Incident Report exploitierten die Angreifer eine ungepatchte Sicherheitslücke, um über das Content-Management-System (CMS) Zugriff auf die Download-Links zu erlangen. Zugegeben: Der Zugriff blieb auf die webbasierten Inhalte begrenzt, nicht auf das Server-Betriebssystem selbst.

Der Schaden war dennoch erheblich. Nur die alternativen Windows-Installer und der Linux-Shell-Installer waren betroffen – In-App-Updates, macOS-Downloads und andere Distributionskanäle blieben verschont.

Die technische Analyse offenbarte zwei unterschiedliche Malware-Varianten. Die Windows-Variante funktioniert als Loader und deployt einen stark verschleiertem Python-basiertem RAT. Dieser Bot-Framework ermöglicht es Angreifern, beliebige Python-Code von Command-and-Control-Servern auszuführen. Die Linux-Variante injiziert schädlichen Code in das Installer-Skript, das versteckt zwei ELF-Binärdateien herunterlädt und als SUID-Root-Binary installiert.

Für Nutzer mit manipulierten Installern empfehlen die Entwickler eine vollständige Neuninstallation des Betriebssystems – ein drastischer, aber gerechtfertigter Schritt angesichts der Möglichkeit beliebiger Code-Ausführung. Zusätzlich sollten alle Passwörter zurückgesetzt werden, da Zugangsdaten kompromittiert sein könnten.

Dieser Vorfall reiht sich in eine besorgniserregende Welle von Supply-Chain-Attacken ein. Im April wurden ähnliche Angriffe auf CPUID (CPU-Z und HWMonitor) und diese Woche auf DAEMON Tools dokumentiert. Die Strategie der Cyberkriminellen ist raffiniert: Statt Einzelnutzer zu attackieren, kompromittieren sie vertrauenswürdige Software-Quellen und infizieren damit Tausende gleichzeitig.

Ähnliche Artikel