it-swarm-es.com

¿Qué es el curso de acción correcto al encontrar proyectos de software gratuitos cuyos ejecutables están extendiendo un virus?

Hoy encontré un proyecto GPLED en SourceForge cuyos ejecutables están extendiendo un virus. Este hecho ha sido señalado varias veces en las revisiones del proyecto y el ejecutable infectado todavía está disponible para su descarga. Aparentemente, los ejecutables más antiguos no están infectados, por lo que el proyecto en sí no parece estar hecho con un propósito malicioso en mente. No hay una forma preferida de ponerse en contacto con los desarrolladores y los foros para el proyecto están muertos. ¿Qué tengo que hacer?

19
AndrejaKo

Si no puede ponerse en contacto con los desarrolladores, póngase en contacto con SourceForge. Reporte el problema, déles información detallada que puedan usar para verificar el problema, y ​​(probablemente) lo quitarán. Son un sitio de buena reputación y me imagino que no querrían estar asociados con malware.

26
Mason Wheeler

El estado de los proyectos.

Los viejos proyectos populares, y ya no han mantenido y olvidado, a menudo se pueden usar como un vector para difundir los virus si alguien puede comprometer la cuenta y cargar una nueva versión compilada. Lo mismo se ha hecho a menudo con sistemas de actualización automática, incluso peor, ya que se entregarán a sí mismos y, a menudo, instalarán una actualización en los sistemas de usuarios sin que el usuario final lo mejor sea.

Posibles acciones para tomar

Mantenedores y desarrolladores

Puede intentar ponerse en contacto con el revelador/mantenedor (s), pero si es un proyecto antiguo, es poco probable que respondan. Si su cuenta ha sido comprometida, le dará una cabeza hacia arriba o hacia la izquierda gritando en una pared.

Red de plataforma/entrega

Es posible que tenga una mejor oportunidad de eliminar el código malicioso contactando con la plataforma que aloja el software. Yo mismo no he intentado contactar directamente una plataforma como SourceForge o NPM. La probabilidad de que reciba una respuesta a menudo está vinculada al tamaño del negocio y si se ha monetizado, si es una sola persona, ¡entonces buena suerte!

Cuanta más información tenga que verificar su solicitud de derivación, más probable y rápida debería suceder.

La comunidad y tu voz

A menudo, puede probar los pasos anteriores y obtener aquí sentirse impotente, pero si puede dejar un comentario o revisión en el software que puede ser lo mejor que puede hacer. A pesar de que muchos usuarios finales seguirán descargando el software a ciegas o previamente confía en el software.


Extra: Prevención reciente y futura

Deje de leer aquí ™ o continúe ¯\_(ツ)_/¯

Hubo un paquete de NPM altamente utilizado con el que se realizó el mantenedor original, ya que muchos proyectos de código abierto alcanzan en su ciclo de vida. Alguien se acercó a pedirlo mantenerlo. Seguramente esto debe sentirse como una carga molesta levantada de los hombros de un desarrollador. Desafortunadamente, el nuevo mantenedor Malware lanzado para robar billeteras Crypto .

Irónicamente, escuché sobre esto a través de la boca de boca y leer el problema abierto en el repositorio de GitHub antes de leer un artículo al respecto o verlo, aparece en el npm audit. Esto va a mostrar que su voz en una plataforma pública realmente puede tener un impacto .

Nuestro grupo de reuniones tuvo una rápida conversación sobre lo que la comunidad podría hacer para prevenir tal cosa, y cuya responsabilidad es evitar que es sucediendo.

Red de plataforma/entrega

Haciendo que la responsabilidad de ITPM ​​requeriría una situación monetizada en su lugar, lo que apestaría, o tal vez solo estaría disponible para las empresas, ¡pero luego todos los demás se beneficiarían de forma gratuita?

Mantenedor de origen

Como mantenedores de código abierto, debemos tener en cuenta las consecuencias de nuestras acciones. Si ha sido un mantenedor de código abierto, puede convertirse en una tarea, ya que su valor intrínseco que obtiene del proyecto disminuye. Sería difícil decir que no a alguien que aparentemente tiene la energía que una vez tuvo que mantener su proyecto avanzando. Una cosa a tener en cuenta es que algunas plataformas permiten un proceso de revisión antes de publicar si los niveles de permiso correctos están en su lugar. En este caso, la propiedad del proyecto se entregó por completo, debe intentar no hacer esto a menos que confíe absolutamente a la persona/entidad, incluso aún así, esto se siente, ya que no es una forma limpia de realizar la continuación del software que se ha establecido y confiado. La gente también podría hacerla en horquillas de código, pero entonces eso puede ponerse desordenado. A veces, el mejor curso de acción es archivar un proyecto, depreciarlo e intentar mover a los usuarios a una nueva biblioteca/proyecto en su lugar.

Comunidad y consumidores

La infraestructura actual podría usar algunas características para ayudar.

Por ejemplo, las comunicaciones podrían ser verificadas, aprobadas o marcadas por la comunidad, al igual que cómo la comunidad puede calificar los torrentes hacia arriba o hacia abajo para que otros puedan tomar decisiones rápidas antes de que se caigan. Una calificación alta negativa podría marcar un paquete y advertir a los consumidores al respecto y las instalaciones futuras.

Como consumidor que instala ciegamente el software y las actualizaciones, es su responsabilidad ver lo que está consumiendo. Puede usar los administradores de paquetes que tienen un bloqueo de versiones para ayudar a negar esto. Desafortunadamente, dudo que muchas personas pasen el tiempo requerido para revisar los 100 paquetes que están instalando cuando establecen un buen'Ol npm install. Algunas empresas pasan por un proceso de vendedor cuando cambia el software; Espero que ningún negocio haga esto para los paquetes NPM (podría detener seriamente el desarrollo), pero esta fue una opción.

Dinero $$$

Nadie quiere pagar por un software gratuito de código abierto, pero si aquellos que estaban escribiendo código fueron recompensados ​​por sus contribuciones, pueden estar más motivadas para mantener su software y la imagen comunitaria. El dinero podría venir directamente de los consumidores o como un goteo para la plataforma en la que se está entregando. Por mucho que odiaría verlo, pude ver las bibliotecas siguiendo el mismo camino que las plataformas CI, sin origen abierto, pero el costo para privado/negocios, esto podría manejarse con licencias, pero los desarrolladores no quieren perder el tiempo. Las profesiones de la licencia, ya sea (tal vez podrían ser simplificadas y sencillas hacia adelante).

0
CTS_AE