O projeto Notepad++ pediu ajuda para derrubar um site imitador que se faz passar pelo Notepad++, e que eles chamam de “site parasita”.
Notepad++ é um editor de texto que é distribuído como um Software livre sob a licença GPL. Suporta várias linguagens de programação.
Agora, o projeto Notepad++ está buscando a ajuda do público para derrubar um site imitador que se faz passar pelo Notepad++, mas não é afiliado ao projeto.
Notepad++ pediu ajuda para derrubar um site imitador
Notepad++, o projeto de editor de texto e código-fonte gratuito e de código aberto, apelou a todos para ajudar a encerrar um site semelhante, o notepad[.]plus, que usa a marca do projeto e até consegue uma classificação elevada nos resultados de pesquisas ao lado do oficial site, notepad-plus-plus.org.
Embora, no momento em que este artigo foi escrito, o site semelhante levasse os visitantes à página oficial de downloads do Notepad++, há alguma preocupação de que ele possa representar ameaças à segurança – por exemplo, se algum dia começar a enviar lançamentos maliciosos ou spam, seja deliberadamente ou como resultado de um sequestro.
“Recebi inúmeras reclamações por e-mail, redes sociais e fóruns sobre um site que representa uma ameaça significativa à nossa comunidade”, escreve Don Ho, o desenvolvedor original do Notepad++.
O site em questão notepad[.]plus, de acordo com Ho, aparece com destaque nos resultados de pesquisa quando os usuários procuram “baixar Notepad++”, conforme confirmado pelo BleepingComputer:
“Alguns usuários acreditaram erroneamente que [este] é o site oficial do Notepad++. Essa confusão levou à frustração e a riscos potenciais de segurança”, afirma o desenvolvedor.
O site em questão contém um aviso claro na parte inferior, informando que é “um site de fãs não oficial” e “não afiliado” ao projeto.
Notepad++ é uma marca registrada de Don HO. O Notepad[.]plus não é afiliado, patrocinado ou endossado por Don HO de forma alguma. Este é um site de fãs não oficial criado apenas para fins informativos/educacionais gerais. Qualquer contexto encontrado neste site são nossas opiniões pessoais e não pretendem refletir as opiniões ou pontos de vista de Don HO ou de seus representantes. Todas as outras marcas registradas são propriedade de seus respectivos proprietários.
É importante notar que o site de fãs direciona os visitantes para a página oficial de downloads de lançamentos do Notepad ++ hospedada em notepad-plus-plus.org.
Apesar disso, Ho alega que “este site abriga uma agenda oculta” e “está repleto de anúncios maliciosos em todas as páginas”.
Esses anúncios, de acordo com Ho, podem enganar usuários desavisados do Notepad++, fazendo-os clicar em links que geram receita para administradores do site não oficial.
“O verdadeiro propósito” do que Ho chamou de “site parasita” é, segundo ele, “desviar o tráfego do site legítimo do Notepad++, notepad-plus-plus.org”, que potencialmente “compromete a segurança do usuário e prejudica o integridade da nossa comunidade”.
O site BleepingComputer verificou a versão mais recente do site notepad[.]plus e cópias arquivadas do passado.
Embora a página inicial do site contenha uma área na parte superior que parece ser destinada à hospedagem de banners publicitários, não encontramos um anúncio ativo nesse espaço ou qualquer outro link promocional no site.
Notamos várias postagens de blog educacionais e de instruções sobre como usar o Notepad++.
O desenvolvedor pede a todos que denunciem o site por meio do formulário da web “relatar software malicioso” do Google Safebrowsing.
Tal abordagem, no entanto, pode não ser frutífera, uma vez que atualmente nenhum software malicioso está sendo lançado pelo site não oficial, ou qualquer coisa que justifique que seja classificado como flagrantemente inseguro.
Além disso, a referida isenção de responsabilidade implementada pelo site pode protegê-lo contra tais acusações.
O logotipo e a marca do Notepad++ usados pelo site, por outro lado, ainda podem entrar em conflito com as regras de marcas registradas.
O repórter de tecnologia Catalin Cimpanu compartilhou a postagem do blog do Notepad++ em um tópico do Mastodon.
Muitos membros da comunidade começaram a denunciar o site não oficial, embora um desenvolvedor tenha repetido que denunciar o site por envio de software malicioso pode ser “errôneo”.
“Eu realmente não entendo isso. Este post está cheio de linguagem muito carregada… Mas fui ao site e realmente não vejo nada de errado com ele”, escreve Robby Zambito.
“Os botões de download até redirecionam para este site do Notepad++; eles próprios não estão distribuindo nenhum software. Eles dizem que este site é “uma ameaça à comunidade”… mas é a comunidade. Parece mais uma ameaça ao seu controle sobre manutenção do software, o que simplesmente não parece grande coisa para mim.”
“Claro, eles podem ganhar confiança e, eventualmente, começar a enviar malware. Mas o mesmo pode acontecer com as pessoas que administram o site notepad-plus-plus”, afirma Zambito.
A observação é especialmente relevante num momento em que projetos de código aberto em grande escala, como o utilitário XZ teve um backdoor injetado por um desenvolvedor que ganhou a confiança dos mantenedores oficiais do projeto, mas se tornou desonesto.
Histórias semelhantes de pesquisadores “avaliados” que contribuem com códigos maliciosos para projetos oficiais não são inéditas.
Esses casos de irregularidades são eventualmente detectados, graças aos numerosos membros perspicazes da comunidade que examinam constantemente o ecossistema de código aberto.
Dada a popularidade do Notepad++, seus usuários também são frequentemente alvo de versões falsificadas e trojanizadas por agentes de ameaças.
Como tal, consumir projetos de código aberto como o Notepad++ de seus sites e repositórios oficiais continua sendo uma abordagem muito mais segura do que outra.
