Oh, snap! Só porque alguns pacotes estão disponíveis para instalação diretamente do Ubuntu Software Center não os torna seguros. Isso é provado por uma recente descoberta de malware em alguns pacotes snap da Ubuntu Snap Store.
Pelo menos dois dos pacotes snap, 2048buntu e Hextris, carregados na Snap Store do Ubuntu pelo usuário Nicolas, continham malware. Todos os pacotes de Nicolas foram removidos da Ubuntu Snaps Store, "aguardando novas investigações".
O relatório vem de um bug que menciona que o pacote snap 2048buntu (e outros pacotes de Nicolas) contém um minerador de criptomoeda escondido dentro.
O script init empacotado com o pacote snap usou o endereço de e-mail myfirstferrari@protonmail.com. Acho que é uma maneira de conseguir uma Ferrari ... 🙂.
Um aspecto interessante é que Nicolas usou uma licença proprietária para pelo menos algums de seus snaps. Por exemplo, o snap 2048buntu foi enviado como software proprietário (o jogo em si não foi desenvolvido por Nicolas). O jogo em questão, 2048, usa uma licença do MIT que permite distribuí-lo como proprietário, sem disponibilizar o código-fonte, desde que retidos os avisos de copyright.
Nota: 2048buntu foi removido da loja Ubuntu Snap, mas você pode verificar sua página através do Google Cache. Mas não podemos mais ver o conteúdo do pacote (a menos que esteja em algum lugar do GitHub, mas eu não consegui encontrar).
Como isso foi possível? Bem, o Ubuntu Snap Store permite que qualquer um faça upload de pacotes snap, ao contrário dos pacotes (deb) disponíveis nos repositórios oficiais do Ubuntu. A razão para isso é fornecer pacotes de instalação mais fácil para seus usuários.
Qual sua opinião sobre isso? Você acha que mais e mais malware chegará aos usuários ao permitir que qualquer pessoa faça upload de pacotes para a Loja do Ubuntu, ou foi um incidente isolado?
Atualização: Canonical React To Ubuntu Snap Store Cryptocurrency Mining Malware (em inglês).
Notícia original via Reddit (u/Kron4ek).
Esse post foi traduzido do site LinuxUprising.com pela rtland.team.
Confira a versão original desse post em inglês:
Malware Found In The Ubuntu Snap Store
Guake Drop-Down Terminal Emulator tem nova versão
NormCap: Ferramenta de captura de tela para texto usando OCR
Como corrigir pipx: Fatal error from pip prevented installation / no module called pip
Upscayl AI Image Upscaler 2.5 adiciona opção para importar modelos personalizados, nova guia de configurações
GPU Screen Recorder para Linux adiciona suporte para GPUs AMD e Intel