Por um momento pensou-se que os arquivos do inkscape estavam comprometidos
Há alguns dias, surgiu a notícia de que desenvolvedores da distribuição NixOS perceberam de vestígios de atividade maliciosa no host usado para baixar editor de gráficos vetoriais gratuito, Inkscape, “media.inkscape.org”.
Sobre a notícia eles mencionam que durante uma pequena análise no host de download do inkscape, detectado dentro do diretório "/dl/resources/file/", de onde é organizado o download das versões oficiais do Inkscape, oun arquivo de índice com um formulário de registro de cassino online que envia dados para um número do WhatsApp.
Em questão o arquivo "index.html" Eu penso aos desenvolvedores do NixOS, que o host onde os arquivos do inkscape são fornecidos estava comprometido e especialmente que potencialmente, durante o ataque, os arquivos fornecidos para download no inkscape podem ter sido comprometidos.
Visitar o URL mostra algum tipo de página html contendo spam não relacionado ao Inkscape (trecho abaixo):
DAFTAR 1 AKUN UNTUK SEMUA JENIS JOGO SLOT ONLINE
Diante disso, Desenvolvedores NixOS, contatados e informados desenvolvedores do Inkscape sobre o assunto, ao qual inicialmente não haviam dado resposta sobre o caso, o que levou os usuários a pensar o pior.
Logo o Representantes do projeto Inkscape vieram esclarecer a situação e acalmar a comunidade, pois relataram que o arquivo index.html "problemático" é um arquivo que estava "esgueirando-se", pois é de um incidente passado.
Desculpe pelo arquivo index.html, que foi colocado em nosso servidor há muito tempo e, embora a entrada do banco de dados de recursos tenha sido excluída há muito tempo, o arquivo permaneceu no sistema de arquivos e o cache rápido continuou a duplicá-lo.
Excluí o arquivo html, redefini o cache rápido (para / e index.html) e executei verificações de integridade em todos os arquivos, no servidor web e em várias possibilidades de intrusão, todas negativas. Este arquivo foi carregado através dos uploads da galeria no site, algo que qualquer pessoa pode fazer. Um arquivo de índice agora atrapalha para evitar que isso aconteça novamente.
Se você quiser verificar o tarball de origem, eu sempre recomendo verificar a assinatura gpg carregada no versionapp aqui Inkscape 1.3 - Fonte: Arquivo: xz tarball | Inkscape e verifique com o gitlab sha que você já criou para obter pontos extras de paranóia.
Desculpe pelo problema.
Em sua explicação é relatado que o arquivo como tal, arquivo que apareceu no servidor do projeto há muito tempo, já que "qualquer usuário" tinha permissão para fazer upload de conteúdo, foi o usuário quem aproveitou essa falha para colocar o arquivo de índice no host do Inkscape.
Quando as coisas mudaram, eles explicam que, em teoria, esse arquivo foi removido do banco de dados de recursos há muito tempo, mas devido a um descuido ele permaneceu no sistema de arquivos e continuou a ser refletido pelo sistema de cache do Fastly. Além disso, os desenvolvedores relataram que para que a comunidade ficasse tranquila, foi realizada uma verificação de todos os arquivos e confirmaram que a integridade dos dados não foi violada.
Vale ressaltar que também foi anunciada uma revisão do modelo de gerenciamento de lançamentos, já que a possibilidade de enviar arquivos arbitrários para o servidor de download através da galeria pode ser considerada uma vulnerabilidade. Entre outras coisas, alguém de fora poderia enviar seu próprio arquivo tar.gz com alterações maliciosas para o servidor media.inkscape.org e enviá-lo como uma versão.
Para verificar a integridade dos arquivos baixados, os desenvolvedores recomendam usar links de download do site oficial, comparar a soma de verificação com os dados do GitLab e verificar a assinatura digital criada pela chave GPG do projeto.
Finalmente se você estiver interessado em saber mais sobre isso, você pode verificar os detalhes no link a seguir