Aanvallers verspreidden geïnfecteerde versie van JDownloader door site te hacken

Hackers hebben malware weten te verspreiden via de populaire downloadmanager JDownloader. De website van het bedrijf achter de tool is gehackt, waardoor aanvallers geïnfecteerde software verspreidden voor Windows- en Linux-gebruikers. Inmiddels is dat probleem verholpen.

De makers van JDownloader bevestigen dat hun website werd gehackt door vooralsnog onbekende hackers. De website is op het moment van schrijven nog offline. De aanval vond plaats op woensdag. Toen konden hackers de site overnemen en een downloadpagina aanpassen. Zo was het mogelijk een geïnfecteerde versie van de software bij slachtoffers op systemen te krijgen.

Volgens de makers van JDownloader waren de Windows-versie en de Linux-shellinstallatiebestanden kwetsbaar. De .jar-download, macOS-versie en packages die via winget, Flatpak of Snap beschikbaar zijn, zijn niet getroffen, zeggen de makers.

De ontwikkelaars zeggen dat de aanvallers wisten binnen te komen via een niet goed gepatchte bug op de website. Daardoor was het mogelijk bewerkingsrechten op de site te krijgen. Wat het exacte doel van de aanvallers is, is niet bekend; sommige gebruikers zeggen dat de malware Windows Defender probeerde uit te schakelen. JDownloader heeft de geïnfecteerde bestanden openbaar gemaakt zodat gebruikers of beveiligingsonderzoekers daar analyses op kunnen loslaten.

JDownloader

Door Tijs Hofmans

Nieuwscoördinator

Feedback • 08-05-2026 19:48 22

08-05-2026 • 19:48

22

Lees meer

Veel taalwebsites gaan offline na hack bij Instituut voor de Nederlandse Taal
Veel taalwebsites gaan offline na hack bij Instituut voor de Nederlandse Taal Nieuws van 12 mei 2026
Veelgebruikte axios-library gebruikt voor supplychainaanval via npm-packages
Veelgebruikte axios-library gebruikt voor supplychainaanval via npm-packages Nieuws van 31 maart 2026
Aanvallers verstoppen infostealer in kwetsbaarhedenscanner Trivy
Aanvallers verstoppen infostealer in kwetsbaarhedenscanner Trivy Nieuws van 22 maart 2026
Onderzoekers ontdekken tweede golf van malware in npm-packages
Onderzoekers ontdekken tweede golf van malware in npm-packages Nieuws van 25 november 2025
Chinese staatshackers zouden achter hack op firewallmaker F5 zitten
Chinese staatshackers zouden achter hack op firewallmaker F5 zitten Nieuws van 17 oktober 2025
Criminelen proberen cryptovaluta te stelen via malware in populaire animatietool
Criminelen proberen cryptovaluta te stelen via malware in populaire animatietool Nieuws van 31 oktober 2024
Compressietool xz lijkt malware te bevatten, Linux-distro's waarschuwen
Compressietool xz lijkt malware te bevatten, Linux-distro's waarschuwen Nieuws van 29 maart 2024
Meer producten en artikelen
Beveiliging en antivirus Malware

Reacties (22)

-Moderatie-faq
22
22
9
1
0
7
Wijzig sortering

Sorteer op:

Weergave:
Randfiguur 8 mei 2026 23:19
Over precies dit scenario maak ik me zorgen bij enkele tooltjes die je van relatief 'kleine' websites kan downloaden. Windows Defender geeft dan soms een waarschuwing dat hij het installatiebestand niet kent, maar dan klik ik toch maar 'install anyway' en dan hoop ik maar dat wat in het artikel staat niet gebeurt...
Reageer
batjes @Randfiguur9 mei 2026 10:28
Dankzij de (vrij recente) toename in securitygaten danwel hacks (mede) door LLM's ben ik met de dag blijer met de overstap naar 100% Debian thuis. Die repos zijn ondertussen de laatste online bron van software dat ik nog een beetje vertrouw.

Closed source en individuele software heeft nog nooit zo onbetrouwbaar aangevoelt imo.
Reageer
Bor Coördinator Frontpage Admins / FP Powermod
@batjes9 mei 2026 11:25
Zowel in open source als in closed source software zitten helaas lekken. Op geen van alle bestaande platformen ben je hiervan gevrijwaard helaas. Heb je de recente items over Linux kwetsbaarheden gemist? Dat iets open source is zegt maar weinig over de veiligheid hiervan helaas. Dat zien we recent maar al te vaak.

[Reactie gewijzigd door Bor op 9 mei 2026 11:26]

Reageer
batjes @Bor9 mei 2026 11:39
Dat klopt, een lek is 1 ding, die supplychain attacks zijn anders. Rusland deed het een paar jaar geleden ook in de oorlog met Oekraine, trok 'per abuis' een paar grote (en een boel kleine) westerse bedrijven mee. De aanvalsvector in deze zin is al jaren aan het toenemen en het kan wel eens een beetje exponentioneel bezig zijn op dit moment. De meeste hacks hoor je nooit wat van.

In die zin vertrouw ik nog maar weinig software online (dan neem ik nog niet eens mee dat veel meuk spyware is) en de repos zijn een welkome uitzondering.

Die lekken zijn heftig, maar in de praktijk niet zo heel ernstig, wanneer ze in je systemen zitten heb je al een probleem. Met of zonder root. Helemaal met 9/10 sudo implementaties.
Reageer
SambalSamurai @Randfiguur9 mei 2026 09:29
Een algemene vraag over software updates, voor ons die JDownloader niet kennen:

Kan een tussentijdse update vanuit de interface van programmas in Windows óók geinfecteerd raken?

Zoja zijn updates vanuit programmas nooit meer veilig en moet men dus élke keer een nieuwe installatie controleren via virustotal en dan pas vanaf daar uitvoeren?
Reageer
Rikkert86 @SambalSamurai9 mei 2026 18:52
Dat kan zeker. Maar ligt natuurlijk ook grotendeels aan hoe de tool zijn updates checkt, en waar hij de update uiteindelijk vandaan haalt. In deze hack is blijkbaar de download pagina op de website aangepast, en zijn de downloadlinks aangepast naar hun eigen, geïnfecteerde, versies van de bestanden. Het is niet echt best/standard practice dat een applicatie zelf ook diezelfde downloadpagina scraped voor mogelijke updates en downloadlinks, dit gaat meestal wel via andere wegen/manieren. However, deze kunnen natuurlijk ook compromised zijn. In dit artikel lijkt het er op dat het puur de downloadpagina was, wat betekend dat een in-app update waarschijnlijk niet eens getriggerd is. Dit omdat er niet 'echt' een nieuwe versie was, en de backend server die de versie controle faciliteerd niet is veranderd, alleen de downloadpage op de website. Maar het komt regelmatig voor dat dit wel gebeurd. Dus helaas is dit ook geen garantie (die is er overigens nooit) op veilige en schone updates.
Reageer
Daraxo 8 mei 2026 20:46
Wat het exacte doel van de aanvallers is, is niet bekend; sommige gebruikers zeggen dat de malware Windows Defender probeerde uit te schakelen.
Ik kan het zelf niet bevestigen, maar iemand in bovenstaande Reddit thread zegt dat de malware het volgende doet:
Thanks, quick check via VirusTotal:

Bkav Pro, Gridinsoft, Rising, McAfee Scanner and Rising marked it as Trojan

it changes Windows Management settings, changes the system owner, creates parallell processes to execute code, steals web session cookies, hijacks execution flows to fetch credentials, disable defense systems like firewall and antivirus

basically all you can think of
Da's serieuze malware. Ik maak geregeld gebruik van dit programma. Ben ik even blij dat ik niet direct m'n programma's doe updaten...
Reageer
Powerblast @Daraxo8 mei 2026 20:59
Stilaan wordt het niet op day one updaten van applicaties ook een maatregel tegen security issues :/, hoe krom het ook is. Je bent dan natuurlijk mogelijk weer een paar dagen langer vulnerable voor security bugs, maar dergelijke attacks van je daar inderdaad dan weer wel mee af.
Reageer
Keypunchie
@Powerblast9 mei 2026 08:28
Kwetsbaarheden zijn over het algemrrn makkelijker uit te buiten bij server dan bij cliënt applicaties.

Simpelweg vanwege het feit dat een server applicatie standaard inkomende verbindingen accepteert, terwijl om een cliënt te exploiteren je hem ergens mee moet laten verbinden.

Dat je wat vertraagd cliënt-applicaties update is geen drama. Uitzondering: je browser. Zet daar auto-updates aan en klik ook op die "herstart" button zodra je hem ziet!

(En neem liever een alternatief voor Google Chrome, maar dat terzijde)
Reageer
kuurtjes @Daraxo8 mei 2026 22:07
Serieuze malware is eigenlijk een paradox. Al die zaken dat opgenoemd zijn maken het juist een luide en makkelijk detecteerbare malware. Serieuze malware daarintegen probeert volledig onopgemerkt te blijven en doet maar het minimale om zo het meeste uit de aanval te kunnen halen.
Reageer
SpeedfreakR 8 mei 2026 21:09
Alleen nieuwe installatie bestanden waren geïnfecteerd. Updates via een bestaande installatie zijn niet geïnfecteerd. Dit lees ik terug op de Reddit pagina.
Reageer
Dynamix86 8 mei 2026 19:56
Ik heb echt nog nooit eerder van dit programma gehoord en ik ben behoorlijk bekend met downloadprogramma's, zowel voor usenet als voor torrents.
Reageer
RCFProd @Dynamix868 mei 2026 19:59
En toch wel een bijzonder populaire programma voor het versnellen of praktisch bij elkaar toevoegen van download links.
Reageer
batjes @RCFProd9 mei 2026 10:23
Dit herinner ik mij nog wel uit dialup dagen en voordat Firefox pauzeren van downloads ondersteunde. Zit er nog steeds zo veel meerwaarde in?
Reageer
Dutch_CroniC @Dynamix868 mei 2026 21:55
Het is meer voor gebruik om een grote file die als meerdere losse html links gepost wordt te kunnen downloaden in 1 batch.

Net even wat anders dan torrents of nzb's
Reageer
Winduss @Dynamix868 mei 2026 19:59
Ja dat kan. Ik heb er wel van gehoord (en gebruikt) en ben ook behoorlijk bekend met downloadprogramma's. 8)7
Reageer
!GN!T!ON @Dynamix868 mei 2026 20:20
Het is dan ook geen programma voor noch usenet noch torrents.
Reageer
theobril @!GN!T!ON8 mei 2026 22:00
Kan het zijn dat je bedoelt: "Het is dan ook noch voor usenet noch voor torrents een programma."? Nu staat er een dubbele ontkenning, zoals bijvoorbeeld het volgende er ook een is: I ain't got no money
Reageer
kuurtjes @Dynamix868 mei 2026 20:22
Dit wordt vooral gebruikt voor rechtstreekse HTTP links.

Als je het combineerd met een debrid service kan je bepaalde trage downloads bijna instant binnentrekken.
Reageer
3qu1n0x @Dynamix868 mei 2026 21:02
Handig voor filelockersites en directe links, opent meerdere gelijktijdige streams en voegt die later samen.
Kan ook automatisch inloggen op premium sites en lijsten importeren.
Vroeger wel eens gebruikt, maar sinds jaar en dag eigenlijk IDM, waar je het mee kunt vergelijken.

Gelukkig alleen de download link en geen geïnfecteerde update kunnen pushen.

[Reactie gewijzigd door 3qu1n0x op 8 mei 2026 21:05]

Reageer
Cerberus_tm @3qu1n0x9 mei 2026 05:15
Is dat Internet Download Manager? In hoeverre is dat anders/beter dan J-Downloader?
Reageer
erwinwernars @Dynamix869 mei 2026 09:16
Programma is vooral bekend om mp3/mp4 te downloaden van youtube. Veel gebruikt om muziek in het vliegtuig te kunnen luisteren 😉

Als je dit nooit hebt gedaan snap ik dat je dit programma niet kent, maar miljoenen gebruikers die dat wel doen 😉
Reageer

Om te kunnen reageren moet je ingelogd zijn