O projeto Notepad++ está solicitando a ajuda do público para derrubar um site cópia que imita de perto o Notepad++, mas não está afiliado ao projeto.
Embora, no momento da redação deste texto, o site semelhante direcione os visitantes para a página oficial de downloads do Notepad++, há alguma preocupação de que ele possa representar ameaças à segurança - por exemplo, se começar a distribuir releases maliciosas ou spam algum dia, seja intencionalmente ou como resultado de um sequestro do site.
Notepad++, o projeto de editor de texto e código fonte livre e de código aberto, fez um apelo para que todos ajudem a fechar um site parecido, notepad[.]plus, que usa a marca do projeto e até consegue um alto ranqueamento nos resultados de buscadores junto ao site oficial, notepad-plus-plus.org.
"Recebi inúmeras reclamações via e-mail, redes sociais e fóruns sobre um site que representa uma ameaça significativa à nossa comunidade", escreve Don Ho, o desenvolvedor original do Notepad++.
O site em questão, notepad[.]plus, segundo Ho, aparece proeminentemente nos resultados de busca quando os usuários procuram por "download Notepad++", conforme confirmado pela BleepingComputer:
"Alguns usuários acreditaram erroneamente que [esse site] é o site oficial do Notepad++.
Essa confusão levou a frustrações e riscos de segurança potenciais", afirma o desenvolvedor.
O site em questão contém um aviso claro no rodapé esclarecendo que é "um site de fãs não oficial" e "não afiliado" ao projeto.
Vale ressaltar que o site de fãs direciona os visitantes para a página oficial de downloads dos releases do Notepad++ hospedada em notepad-plus-plus.org.
Apesar disso, Ho alega que "este site esconde uma agenda oculta" e está "repleto de anúncios maliciosos em todas as páginas".
Tais anúncios, segundo Ho, poderiam enganar os usuários do Notepad++ desprevenidos a clicarem em links que geram receita para os administradores do site não oficial.
O "verdadeiro propósito" desse que Ho chamou de "site parasita" é, segundo ele, "desviar tráfego do legítimo site do Notepad++, notepad-plus-plus.org", o que potencialmente "compromete a segurança do usuário e mina a integridade de nossa comunidade".
A BleepingComputer verificou tanto a versão mais recente do site notepad[.]plus quanto cópias arquivadas do passado.
Embora a homepage do site contenha uma área no topo que parece destinada a hospedar banners de anúncios, não encontramos um anúncio ativo naquele espaço ou qualquer outro link promocional no site.
Observamos múltiplos posts educacionais e tutoriais sobre o uso do Notepad++.
O desenvolvedor insta todos a reportar o site através do formulário web "reportar software malicioso" do Google Safebrowsing.
Entretanto, tal abordagem pode não ser frutífera dado que atualmente não há releases de software maliciosos sendo distribuídos pelo site não oficial, ou qualquer coisa que justifique sua classificação como flagrantemente inseguro.
Além do mais, o aviso mencionado anteriormente colocado pelo site pode protegê-lo contra tais acusações.
O logo e a marca usados pelo site, por outro lado, ainda podem violar as regras de marca registrada.
O repórter de tecnologia Catalin Cimpanu compartilhou o post do blog Notepad++ em um tópico no Mastodon.
Muitos membros da comunidade começaram a reportar o site não oficial, embora um desenvolvedor tenha ressaltado que reportar o site por distribuir software malicioso pode ser "errôneo".
"Realmente não entendo isso.
Este post está cheio de linguagem muito carregada...
Mas eu visitei o site e realmente não vejo nada de errado nele", escreve Robby Zambito.
"Os botões de download até redirecionam para o site Notepad++; eles não estão distribuindo nenhum software por conta própria.
Eles dizem que este site é 'uma ameaça à comunidade'...
mas é a comunidade.
Parece mais como uma ameaça ao controle deles sobre a manutenção do software, o que simplesmente não me parece tão importante."
"Claro, eles podem ganhar confiança e eventualmente começar a distribuir malware.
Mas o mesmo poderia acontecer com as pessoas que administram o site notepad-plus-plus", afirma Zambito.
A observação é especialmente relevante em uma época em que grandes projetos de código aberto, como a utilidade XZ, tiveram um backdoor injetado por um desenvolvedor que ganhou a confiança dos mantenedores oficiais do projeto, mas se rebelou.
Histórias semelhantes de pesquisadores "verificados" contribuindo com código malicioso para projetos oficiais não são inexistentes.
Tais casos de má conduta são eventualmente descobertos, graças aos numerosos membros atentos da comunidade que constantemente escrutinam o ecossistema de código aberto.
Dado a popularidade do Notepad++, seus usuários também são frequentemente alvo de versões falsificadas e trojanizadas por atores de ameaças.
Assim, consumir projetos de código aberto como o Notepad++ de seus sites e repositórios oficiais permanece uma abordagem muito mais segura do que o contrário.
Publicidade
Passe por todas as principais fases de um pentest, utilizando cenários, domínios e técnicas reais utilizados no dia a dia de um hacker ético. Conte ainda com certificado e suporte, tudo 100% gratuito. Saiba mais...