«Несколько дней назад хостер SourceForge пытался использовать заброшенный аккаунт GIMP, чтобы распространять копию популярной open source программы вместе со своим загрузчиком и adware. Попытка была отбита.

По итогам событий разработчики GIMP предупредили всех, что на SourceForge остаются зеркала многих проектов open source, и корыстный хостер может сделать с ними что-то подобное.

Вчера тревогу поднял Гордон Лион (Gordon Lyon), известный в интернете под ником Fyodor, автор популярной утилиты для сканирования и аудита безопасности сайтов Nmap. Как выражается автор, SourceForge похитила его аккаунт с open source программой Nmap. Об этом он написал в списке рассылки Seclists.org.

«Всем привет! Вы должно быть уже слышали последние новости о том, что Sourceforge.net похитил аккаунт проекта GIMP для распространения adware/malware. Ранее GIMP использовал этот аккаунт Sourceforge для распространения своего инсталлятора Windows, но они ушли после того, как Sourceforge начал обманывать пользователей с фальшивыми кнопками скачивания, которые вели к вредоносным программам, а не GIMP. Тогда Sourceforge завладел аккаунтом GIMP и начал распространять троянский инсталлятор, который пытался с помощью уловок установить различные malware и adware до начала реальной установки GIMP. Конечно, это прямо противоречит обещанию, сделанному Sourceforge менее двух лет назад: «Мы вас уверяем, что НИКОГДА не сделаем бандл ни с каким проектом без согласия разработчиков».

Такое сильное обещание! В любом случае, плохие новости в том, что Sourceforge также угнал у меня аккаунт Nmap. Старая страница проекта Nmap сейчас чиста:

sourceforge.net/projects/nmap

В то же время, они перевели весь контент Nmap на свою новую страницу под своим контролем:

sourceforge.net/projects/nmap.mirror

Вы видите наверху, что владельцы страницы Nmap теперь 'sf-editor1' и 'sf-editor3'. Можно нажать и посмотреть, какие ещё страницы они похитили.

Пока что они распространяют только официальные файлы Nmap (если не нажимать на фальшивые кнопки скачивания) и мы не словили их на троянизации Nmap таким способом, как они сделали с GIMP. Но мы естественно не доверяем им ни на йоту! Sourceforge разворачивает такую же схему, какую пробовал CNet Download.com, когда у них начались финансовые проблемы:

insecure.org/news/download-com-fiasco.html

Мы попросим Sourceforge убрать похищенную страницу Nmap, но ещё важнее, что мы просим вас скачивать Nmap только с нашего официального сайта SSL Nmap:

nmap.org/download.html

Если вы не доверяете SSL самому по себе (и мы не можем вас винить за это), вы также можете проверить подписи GPG: nmap.org/book/install.html#inst-integrity

С уважением,
Fyodor»

На открытое письмо Fyodor ответил старший директор по бизнес-развитию SourceForge Роберто Галоппини (Roberto Galoppini). Он заверил, что компания никогда не модифицировали файлы Nmap. А указанная им страница — это зеркало, организованное в конце 2011 года, которое размещается на серверах SourceForge и с тех пор обновляется, в соответствии с официальными релизами Nmap.

Комментарии (14)


  1. iDeBugger
    04.06.2015 12:29
    +21

    Какой ад.


    1. Halt
      04.06.2015 12:44
      +18

      И правда жесть. А ведь было время, когда для поиска и скачивания софта первым делом шли на sourceforge.


      1. Lure_of_Chaos
        05.06.2015 10:51
        +1

        Отучили большой зеленой кнопкой.
        Что у нас остается? Гитхаб?


        1. Halt
          05.06.2015 11:31
          +1

          Ну как инструмент работы над исходниками и их распространения — да. А с задачей поиска хорошо справляются дистрибутивы и их пакетные менеджеры.


          1. Lure_of_Chaos
            05.06.2015 12:09

            Вопрос единого репозитария, грубо говоря — урл, который можно вбить в пакетный менеджер, который найдет нам все нужные пакеты (и это не поисковик)


  1. xandr0s
    04.06.2015 14:03
    +3

    sourceforge.net/projects/apachehttp.mirror я так понимаю тоже? малая жесть


    1. Power
      04.06.2015 22:42
      +1

      Список таких проектов-зеркал: sourceforge.net/mirror/projects/All


  1. stigracer
    04.06.2015 14:43
    +4

    Fyodor? Как это читается? Фёдор?


    1. a5b
      04.06.2015 19:01
      +3

      Точнее Fyodor Vaskovich (english wikipedia), в честь писателя Fyodor Dostoyevsky.

      insecure.org/fyodor Fyodor FAQ
      Where did the nickname Fyodor come from? — Like many hackers, I enjoy reading. For a while in the early 90s I was particularly enamored with Russian author Fyodor Dostoevsky.


  1. Nerten
    04.06.2015 14:45
    +8

    https://blog.l0cal.com/2015/06/02/what-happened-to-sourceforge/



  1. mousus
    05.06.2015 10:50
    +5

    Ахтунг, они даже без .mirror захватили много Windows инсталляторов опенсорсных проектов, например Filezilla Server при этом с официального сайта проекта ссылка идёт на sourceforge и не факт что авторы знают что их инсталлятор теперь скачивается только после загрузки и запуска adware загрузчика, который упорно впаривает установку всякого crapware..((


    1. roboter
      05.06.2015 12:05

      Попался какраз на FileZilla, и поверьте разработчики в курсе (можно зайти к ним на форум) и судя по ссылке выше разработчикам выплачивают бонусы.


  1. fcuked
    10.06.2015 11:13
    +1

    так вот оно что. Как-то скачивал с SourceForge, что-то на подобии screen record и мне в довесок установились программы, которые отправляли пакеты в Китай:) Удалил программы, пакеты все еще уходили, так как программы создали еще и джобу, которая работает независимо от них.