Разработчик бесплатного проекта редактора текста и исходного кода Notepad++ Дон Хо обратился к общественности. Он просит помочь ему закрыть «сайт-паразит», который выдаёт себя за Notepad++.
Хотя ресурс notepad[.]plus перенаправляет посетителей на официальную страницу загрузок Notepad++, существуют некоторые опасения, что он может представлять угрозу безопасности — например, если преднамеренно или в результате взлома он начнёт распространять вредоносные выпуски или спам. При этом сайт занимает высокие позиции в результатах поисковых систем наряду с официальным, notepad-plus-plus.org.
«Я получил множество жалоб по электронной почте, в социальных сетях и на форумах относительно веб-сайта, который представляет серьёзную угрозу для нашего сообщества», — пишет Хо.
Копия ресурса Notepad++ содержит чёткое заявление об отказе от ответственности, в котором говорится, что это «неофициальный фан-сайт», «не связанный» с проектом.
Однако Хо утверждает, что «на каждой странице сайта есть вредоносная реклама». Она может обмануть пользователей Notepad++, заставив их переходить по ссылкам, которые приносят доход администраторам, и отвлекая трафик от законного веб-сайта Notepad++.
В BleepingComputer проверили как последнюю версию веб-сайта notepad[.]plus, так и заархивированные копии. Хотя домашняя страница сайта действительно содержит область вверху, которая, судя по всему, предназначена для размещения рекламных баннеров, там нет активной рекламы или каких-либо других рекламных ссылок. При этом ресурс содержит несколько обучающих и практических публикаций по использованию Notepad++.
Тем не менее, Хо призывает всех жаловаться на ресурс через веб-форму Google Safebrowsing как «на вредоносное программное обеспечение».
IT-журналист Каталин Чимпану поделилась записью в блоге Notepad++ в ветке Mastodon. Многие члены сообщества начали жаловаться на неофициальный веб-сайт, хотя один разработчик всё же считает, что сообщение о распространении вредоносного программного обеспечения может быть «ошибочным». «Я искренне этого не понимаю. Этот пост полон очень резких высказываний... Но я зашел на сайт и действительно не вижу в нём ничего плохого», — пишет Робби Замбито. Однако и он допускает, что копия сайта после завоевания доверия пользователей может начать распространять вредоносы.
Это наблюдение особенно актуально в то время, когда в масштабные проекты с открытым исходным кодом, такие как утилита XZ, был внедрён бэкдор, который не заметили даже официальные сопровождающие проектов.
Между тем исследователи компании Malwarebytes осенью 2023 года рассказали о кампании с вредоносной рекламой в Google-поиске, которая нацелена на пользователей, желающих загрузить Notepad++. Эту кампанию не замечали несколько месяцев. Исследователи не смогли выяснить, какая полезная нагрузка распространяется, но, скорее всего, это Cobalt Strike, которое позволяет развёртывать программы-вымогатели.
