JDownloader-Website kompromittiert: Malware über manipulierte Links

Die Website des beliebten Downloader-Tools JDownloader wurde kompromittiert. Sie lieferte manipulierte Installationspakete aus, die mit Malware verseucht waren. Die Betreiber haben die Website inzwischen bereinigt. Ein ähnlicher Vorfall ereignete sich bei den Daemon Tools; auch dort stellen die Betreiber nach einer Bereinigung nun saubere Installer bereit.

Das JDownloader-Team veröffentlichte eine Sicherheitsmeldung zu dem Vorfall. Demnach manipulierten Angreifer die Download-Links so, dass sie auf schädliche Dateien verwiesen – Berichten zufolge handelte es sich um einen Python-basierten Remote Access Trojan (RAT). Betroffen waren die Links unter „Download Alternative Installer“ und der Linux-Shell-Installer. Die auf der JDownloader-Website hinterlegten Installationsdateien selbst blieben unverändert; die Angreifer lenkten lediglich die Linkziele auf externe Server um. In-App-Updates waren nicht betroffen.

Nach Kenntnisnahme des Vorfalls nahmen die Betreiber die Website offline, schlossen die Sicherheitslücke und setzten die Links wieder auf die korrekten Dateien. Daher waren nur die Downloads vom 6. und 7. Mai verseucht; seit dem 9. Mai ist die Website wieder mit sauberen Downloads online. Die konkrete Schwachstelle nennt das JDownloader-Team nicht. Es erklärt lediglich, dass die Änderungen an den Links und Seiten im CMS vorgenommen wurden, die Angreifer jedoch keinen Zugriff auf das Server-System und insbesondere nicht auf das Dateisystem erlangten.

Die Sicherheitsmeldung listet Hinweise auf verseuchte Dateien in Form von Dateinamen, Dateigrößen und SHA256-Hashes auf. Interessierte können damit überprüfen, ob ihr Download mit Malware infiziert ist.

Vergangene Woche wurde bekannt, dass auch die Daemon-Tools-Website Malware-Downloads ausgeliefert hatte. Zunächst blieb der Zustand unverändert, aber die Betreiber reagierten schließlich und veröffentlichten nach Bereinigung der Website eine nicht infizierte Version der Daemon Tools Lite 12.6.

Die Untersuchungen dauern nach Angaben der Betreiber an, um die Ursache und den vollen Umfang des Vorfalls zu ermitteln, wie sie in einer Stellungnahme mitteilen.