Исследователи безопасности из компании Apiiro выявил "github.org/org2/proj"), или с немного отличающимся от оригинала именем (тайпсквотинг), с расчётом, что жертва не заметит отличий и воспользуется кодом с вредоносными изменениями. Для завлечения пользователей ссылки на вредоносные репозитории активно размещаются в различных социальных сетях, форумах и чатах...Подробнее: https://www.opennet.me/opennews/art.shtml?num=60718
Пока на f-droid не появится, не качаю. И даже так нет никаких гарантий.
А причём тут f-droid? Речь же не только об Android. Да и им, с другой стороны, нельзя слепо доверять. Манифест шифропанков о чём говорил?
у вас опечатка в слове ru-store :)
рустор - это само по себе опечатка
Удаляю то, что появилось в русторе)
Вот русторка куда более внушающий довере "магазин".
Вот проверялка в помощь: find . -type f -iname "*.py" -exec grep -E 'exec\(Fernet|exec\(requests|exec\(__import|exec\(bytes|exec\(\"\"\"\\nimport|exec\(compile|__import__\(\"builtins\"\).exec\(' {} \; -print
Судя по исходникам BlackCap-Grabber заточен под Винду.
>>Исследователи безопасности из компанииПочему опять код исследуют какие-то корпорасты? Куда смотрит свободное сообщество?
Потому что для корпоратов это отличная возможность прописаться и у них есть достаточно ресурсов чтобы перелопатить такой объем информации.
Пропиариться*
> отличная возможность прописатьсяА Сообществу не нужно пиариться?
В хорошем смысле слова, ну чтобы другие люди узнали, что можно приность пользу и главное, как это сделать.> у них есть достаточно ресурсов
У линукс фаундейшн 60 лардов активов.
Так что про недостаток ресурсов это скорее преувеличение.
Не знаю, нужно ли ему париться или нет, но все про это сообщество говорят так, будто это какая-то организация, к которой можно выдвигать какие-то претензии. Вообще-то вы тоже сообщество. Напишите анализатор, погоняйте у себя его пару деньков. Так и сообщество попиарите, а там глядишь ещё народ подтянется. Но ответом чую будет: "Мне за это не платят", "Не знаю как сделать/не моя сфера", "Работаю 24/7, мне некогда", "Мне это не нужно/не интересно", "У меня жена, дети, собаки, кошки, хомяки. Я за ними ухаживаю, не до этого" и т.д. Собственно, так же и у остального сообщества. В организации работают эти же люди, но они пришли на работу, им за это заплатили. Тут уже прямой коммерческий интерес, болеющими хомячками, да кошечками не отмажешься.Что до денег, линукс не хостится на гитхабе. Зачем им на нём что-то анализировать? У них хватает мест, куда эти ресурсы можно применить более полезно.
Они же опенсорсные, значит всё в порядке.
>или с немного отличающимся от оригинала именем (тайпсквотинг),Битсквоттинг ещё хуже. Нужны контрмеры в реализациях и поддержка в станд. библиотеке для частей, уязвимых к битсквоттингу, а также ECC-память как ultimate countermeasure.
>C&CRed Alert или Generals?
А уж сколько там бредоносного кода.. страшно и представить :)