Information for users of JDownloader (jdownloader.org).
Website-Installer-Vorfall — Mai 2026
Informationen für Nutzer von JDownloader (jdownloader.org).
About this page
This notice on jdownloader.org is the public incident information for users. If we add or change details later, reload this page to see the latest version.
Who may be at risk: Only people who downloaded and installed from jdownloader.org during 6th–7th May 2026 (UTC) using one or more website download links for "Download Alternative Installer" and/or the affected Linux shell installer link — see the timeline below.
Who is not affected:Everything that is not among the at-risk cases above — all other downloads and install paths on this site, existing installations, in-app updates, and installations from any other source.
What happened
In early May 2026, attackers succeeded in altering the official JDownloader website so that certain installer links published herewere repointed from the genuine JDownloader installer downloads to unrelated malicious third-party files: on Windows, only the installer download links for "Download Alternative Installer" — not the other installers offered on jdownloader.org — and the Linux shell installer link from the site. Our genuine installer packages were not modified — only the targets of the download links published here pointed to the wrong files. Installer binaries continue to be hosted externally as usual. Once confirmed, those malicious link targets were removed, links were corrected back to the legitimate external hosts, and the security issue was fixed. The website stayed fully offline while analysis, remediation, and further verification were completed. In the night of 8th–9th May 2026 (UTC), after those checks, it was brought back online and normal public service resumed with verified clean installer links.
Technical scope: Changes were made through the website's content management system, affecting published pages and links. The attacker did not gain access to the underlying server stack — in particular no access to the host filesystem or broader operating-system-level control beyond CMS-managed web content.
jdownloader.org is secure again.
Timeline (UTC)
Approximate order of events:
5th May 2026, late evening (~23:55 UTC) — Attackers tested their approach on a low-traffic page before changing live installer links.
6th May 2026, shortly after midnight (~00:01 UTC) — On jdownloader.org, a few download links were changed: if you used "Download Alternative Installer" or the Linux shell installer link, you could get malicious files from elsewhere instead of the real JDownloader installers. Other installers on the same page were not affected.
6th through 7th May 2026 — Primary risk window for downloads via those manipulated links.
7th May 2026 — At we were alerted to the problem via reddit.com. Suspicious downloads and warnings became visible; the issue was confirmed and incident handling began. At , the server was shut down.
7th → 8th May 2026 — Malicious link targets removed; legitimate installer links restored; remediation completed; configuration hardened. The website remained fully offline until that work plus follow-on analysis and remediation were finished.
Night of 8th–9th May 2026 (UTC) — After further checks, the website was brought back online; normal operation resumed with verified clean installer links.
What was involved
Windows: Only the "Download Alternative Installer"installer download links on the site were manipulated: they pointed users to unrelated malicious downloads, not to defective or modified copies of our own installers. If you used such a link during the risk window, the file you got could fail usual trust checks (unexpected publisher, missing or invalid signature vs. genuine installers from us).
Linux: A shell-based installer obtained via a swapped link could contain harmful commands.
Known malicious file indicators
Official JDownloader installer packages were not modified; the following SHA256 digests and exact sizes in bytes describe unrelated malicious files that were observed as the substituted download targets during the incident. Your saved copy may use a different file name; compare hash and size together. A match is a strong indicator of the bad file — do not run it; delete it and obtain a fresh installer from the official site once you can verify clean links.
Below are the known SHA256 checksums of the malicious substitute installer files observed during this incident.
This incident did not affect updates delivered from inside JDownloader.
Every update installed through the application's built-in updater is RSA-signed and cryptographically verified. That channel is independent of the website download links that were manipulated.
How to tell if you might be affected
Timing and execution: You are only in the potential at-risk group if you downloaded an installer via the affected website links during the risk window in the timelineand you ran (executed) that file. Visiting the site alone, downloads outside that window, or a file you never executed are different situations (see the subsections below).
If you still have a downloaded installer, compare SHA256 and byte size to the known malicious indicators (Windows and Linux shell script).
Windows: "Download Alternative Installer" from jdownloader.org
Confirm you mean an installer from any of the "Download Alternative Installer" download links on the site — other installers on jdownloader.org were not swapped. Note roughly when you downloaded (see timeline).
Locate the file if you still have it; do not run it until verified.
Right-click → Properties → Digital Signatures: genuine installers should show AppWork GmbH. Unknown publishers or missing signatures → do not execute; delete the file.
Never bypass SmartScreen or Defender warnings to force a run.
Linux shell installer from the website
Do not re-run until you can verify integrity (for example checksums published with the genuine installer, or signature checks as above). If you cannot verify, delete the file and obtain a fresh installer only from the official download section on jdownloader.org once you are confident the links are clean.
Only in-app or store updates
Those paths were not tied to this website installer issue. In-app updates are RSA-signed (see In-app updates above). Continue normal good habits (updates, scans, heed warnings).
No file left / unsure
Run a full scan with up-to-date security software. Treat browser download history only as a memory aid. If you suspect execution of malware, follow the next section.
What to do next
File never started
If the file was never executed, usually nothing happened. Delete it and download fresh installer packages from jdownloader.org (official download section).
Installer executed — when in doubt
Clear recommendation: If you cannot rule out that you downloaded and executed a malicious installer, perform a clean reinstall of your operating system (full wipe / fresh install or vendor recovery). Antivirus scans reduce risk but cannot guarantee removal of every persistence mechanism.
Until you consider the system clean again, avoid sensitive logins on this machine if you can; change passwords for important accounts from another device. On this PC run a full scan with up-to-date protection and review unfamiliar programs and startup entries. Restore personal files only from backups you trust.
General security tips
Verify digital signatures before running installers from the web.
Never ignore antivirus, Microsoft Defender, or SmartScreen warnings.
Do not disable real-time protection or habitually click through warnings.
Prefer official channels.
Keep your operating system and browser updated.
When uncertain, pause — download later from a verified channel.
Zu dieser Seite
Dieser Hinweis auf jdownloader.org ist die öffentliche Vorfallsinformation für Nutzer. Wenn wir später Ergänzungen oder Korrekturen veröffentlichen, sehen Sie die aktuelle Fassung nach einem Neuladen dieser Seite.
Wer kann gefährdet sein: Nur wer von jdownloader.org zwischen dem 6. und dem 7. Mai 2026 (UTC) installiert hat und dabei einen oder mehreren der Website-Download-Links für "Download Alternative Installer"und/oder den betroffenen Linux-Shell-Installer-Link genutzt hat — siehe Zeitleiste unten.
Wer ist nicht betroffen:Alles, was nicht zu den oben genannten Risikofällen gehört — alle weiteren Download- und Installationswege auf dieser Website, bestehende Installationen, In-App-Updates und Installationen aus anderen Quellen.
Was passiert ist
Anfang Mai 2026 ist es Angreifern gelungen, bestimmte auf der offiziellen JDownloader-Website angezeigte Installer-Download-Links so zu setzen, dass sie auf fremde, schädliche Dateien verwiesen statt auf die vorgesehenen echten JDownloader-Installationspakete: Unter Windows nurdie Download-Links für "Download Alternative Installer" — nicht die übrigen dort angebotenen Installer — sowie der Linux-Shell-Installer-Link von dieser Website. An den echten Installer-Paketen wurde nichts geändert — verändert wurden ausschließlich die Ziele der hier veröffentlichten Links. Die Pakete werden weiterhin extern gehostet wie gewohnt. Nach Bestätigung wurden die schädlichen Link-Ziele entfernt, die Links wieder auf die korrekten externen Quellen gesetzt und das Sicherheitsproblem behoben. Die Website blieb bis zur Freischaltung vollständig offline, während Analyse, Fehlerbehebung und weitere Prüfungen liefen. In der Nacht vom 8. auf den 9. Mai 2026 (UTC) wurde sie nach diesen Prüfungen wieder online gestellt; der öffentliche Betrieb lief anschließend mit verifizierten, sauberen Installer-Links.
Technischer Umfang: Die Änderungen erfolgten über das Content-Management-System (CMS) und betrafen die dort verwalteten Seiten und Verweise. Der Angreifer hatte keinen Zugriff auf die darunterliegende Systemebene des Servers — insbesondere keinen Zugriff auf das Dateisystem und keine Kontrolle jenseits des durch das CMS editierbaren Webinhalts.
jdownloader.org ist wieder sicher.
Zeitleiste (UTC)
Ungefähre Reihenfolge:
5. Mai 2026, spätabends (~23:55 UTC) — Angreifer testen ihr Vorgehen auf einer wenig frequentierten Seite, bevor live Installer-Links geändert werden.
6. Mai 2026, kurz nach Mitternacht (~00:01 UTC) — Auf jdownloader.org wurden einige Download-Linksfalsch eingestellt: Beim Klick auf "Download Alternative Installer" oder den Linux-Shell-Installer konnte man fremde, schädliche Dateien bekommen statt der echten JDownloader-Installer. Die übrigen Installer auf derselben Seite waren nicht betroffen.
6. bis 7. Mai 2026 — Haupt-Risikofenster für Downloads über diese manipulierten Links.
7. Mai 2026 — Um wurden wir über reddit.com auf das Problem aufmerksam gemacht. Auffällige Downloads und Warnungen werden sichtbar; Problem wird bestätigt, Incident-Handling startet. Um wurde der Server heruntergefahren.
7. bis 8. Mai 2026 — Schädliche Link-Ziele entfernt; korrekte Installer-Verlinkungen wiederhergestellt; Folgemaßnahmen umgesetzt; Konfiguration gehärtet. Die Website blieb währenddessen vollständig offline, bis diese Arbeiten sowie Analyse und Fehlerbehebung abgeschlossen waren.
In der Nacht vom 8. auf den 9. Mai 2026 (UTC) — Nach weiteren Prüfungen wurde die Website wieder online gestellt; regulärer Betrieb mit verifizierten, sauberen Installer-Links.
Was betroffen war
Windows: Es wurden nur die Download-Links für "Download Alternative Installer" auf der Website manipuliert: Sie verwiesen auf fremde, schädliche Downloads, nicht auf veränderte oder fehlerhafte Kopien unserer eigenen Installer. Bei einem solchen Download im Risikofenster kann die erhaltene Datei übliche Vertrauensprüfungen nicht bestehen (unerwarteter Herausgeber, fehlende oder ungültige Signatur im Vergleich zu echten Installer-Paketen von uns).
Linux: Ein über einen manipulierten Link bezogener Shell-Installer kann schädliche Befehle enthalten.
Bekannte Merkmale schädlicher Dateien
Offizielle JDownloader-Installer-Pakete wurden nicht verändert; die folgenden SHA256-Werte und exakten Größen in Bytes beschreiben fremde, schädliche Dateien, die während des Vorfalls als ausgetauschte Download-Ziele festgestellt wurden. Ihre gespeicherte Kopie kann einen anderen Dateinamen haben — vergleichen Sie Hash und Größe gemeinsam. Bei Übereinstimmung spricht viel für die schädliche Datei: nicht ausführen, löschen und den Installer erst wieder von der offiziellen Seite beziehen, wenn die Links vertrauenswürdig sind.
Es folgen die bekannten SHA256-Prüfsummen der bösartigen Ersatz-Installer, die während dieses Vorfalls festgestellt wurden.
Dieser Vorfall betraf nicht die Updates aus dem laufenden JDownloader heraus.
Alle über den eingebauten Updater eingespielten Updates werden RSA-signiert und kryptographisch geprüft. Dieser Kanal steht in keinem Zusammenhang mit den manipulierten Download-Links auf der Website.
Erkennen einer möglichen Betroffenheit
Zeitraum und Ausführung: Potenziell betroffen sind Sie nur, wenn Sie den betreffenden Installer im Risikofenster aus der Zeitleiste über die manipulierten Website-Links heruntergeladenund ausgeführt haben. Ein Seitenbesuch ohne solchen Download, Downloads außerhalb dieses Zeitraums oder eine Datei, die Sie nie gestartet haben, ist eine andere Lage (siehe die Unterabschnitte unten).
Wenn Sie einen heruntergeladenen Installer noch haben, vergleichen Sie SHA256 und Byte-Größe mit den bekannten schädlichen Merkmalen (Windows und Linux-Shell-Skript).
Windows: "Download Alternative Installer" von jdownloader.org
Sicherstellen, dass es um einen Installer über einen der "Download Alternative Installer"-Download-Links geht — die übrigen Installer auf jdownloader.org wurden nicht ausgetauscht. Ungefähren Downloadzeitpunkt notieren (siehe Zeitleiste).
Datei suchen, falls noch vorhanden; nicht ausführen, bis sie verifiziert ist.
Niemals SmartScreen- oder Defender-Warnungen umgehen, um eine Ausführung zu erzwingen.
Linux-Shell-Installer von der Website
Nicht erneut ausführen, bis die Integrität bestätigt ist (z. B. mit veröffentlichten Prüfsummen zum echten Installer oder den Signaturprüfungen wie oben). Bei Unsicherheit Datei löschen und einen frischen Installer nur aus dem offiziellen Download-Bereich auf jdownloader.org beziehen, sobald die Links wieder vertrauenswürdig sind.
Nur In-App- oder Store-Updates
Diese Wege hängen nicht an diesem Website-Installer-Problem. In-App-Updates sind RSA-signiert (siehe Abschnitt In-App-Updates oben). Gewohnte gute Praxis beibehalten (Updates, Scans, Warnungen ernst nehmen).
Keine Datei mehr / unsicher
Vollständigen Scan mit aktueller Sicherheitssoftware fahren. Browser-Downloadhistorie nur als Gedächtnisstütze nutzen. Bei Verdacht auf Malware-Ausführung den nächsten Abschnitt befolgen.
Was Sie jetzt tun können
Datei nie gestartet
Wurde die Datei nie ausgeführt, ist in der Regel nichts passiert. Einfach löschen und frische Installer-Pakete von jdownloader.org beziehen (offizieller Download-Bereich).
Installer ausgeführt — bei Unsicherheit
Klare Empfehlung: Wenn Sie nicht ausschließen können, dass Sie einen bösartigen Installer heruntergeladen und ausgeführt haben, saubere Neuinstallation des Betriebssystems (vollständiges Zurücksetzen / Neuaufsetzen oder Hersteller-Wiederherstellung). Antivirus-Scans senken das Risiko, garantieren aber keine Entfernung jeder versteckten Persistenz.
Solange Sie das System noch nicht wieder als sauber einstufen: nach Möglichkeit keine sensiblen Anmeldungen auf diesem Rechner — Passwörter für wichtige Konten von einem anderen Gerät aus ändern; auf diesem Rechner einen Vollscan mit aktuellem Schutz laufen lassen und unbekannte Programme sowie Autostart-Einträge prüfen. Persönliche Dateien nur aus Backups zurückspielen, denen Sie vertrauen.
Allgemeine Sicherheitshinweise
Vor der Ausführung von Web-Installern digitale Signaturen prüfen.
Antivirus-, Defender- oder SmartScreen-Warnungen nicht ignorieren.
Echtzeitschutz nicht dauerhaft abschalten oder Warnungen gewohnheitsmäßig wegklicken.
Offizielle Kanäle bevorzugen.
Betriebssystem und Browser aktuell halten.
Bei Unsicherheit innehalten — später von einer verifizierten Quelle laden.