Разработчики Notepad++, открытого редактора кода для платформы Windows, опубликовали разбор инцидента, в результате которого была скомпрометирована сетевая инфраструктура провайдера и некоторые пользователи Notepad++ получили подменённые исполняемые файлы, загружаемые с использованием системы автоматической доставки обновлений WinGUp...Подробнее: https://www.opennet.dev/opennews/art.shtml?num=64725
> Перенаправление осуществлялось выборочно только для определённых пользователейОчень интересно, и для каких именно определённых пользователей ?
В остальном, даже удивительно, что кто-то этим ещё пользуется при существующем вс-коде с горой плагинов и его подобиях
Судя по тому, что они спекулировали заявлениями, что всё это происки китайских спецслужб, атаковали китайцев.
Прямо как иранцы атаковали иранцев Stuxnet. Или россиянцы атаковали госсектор россиянцев через подписанные обновления Асуса. Звучит логично. Я так припоминаю, сабж уже был замечен за распространением црушных бэкдоров.
просто власти скрывают
VSCode сильно дольше запускается
один раз проект открыл - и работаешь
>даже удивительно, что кто-то этим ещё пользуется при существующем вс-коде с горой плагинов и его подобияхвс-коде - это лагучий веб со всеми вытекающими, нотепад++ - рулит...
vs-code решили переписать на Rust. Получился zed editor
> vs-code решили переписать на RustРазве не Atom?
> Получился zed editor
Такое себе, как и всё гуёвое на расте, что я видел.
Рендеринг шрифтов - свой велосипед, который ничего не умеет. Даже отключение сглаживания (нужно для Terminus TTF и Cozette).CSD отрисовывает крайне паршиво. SSD можно включить, но свой заголовок при этом он не убирает, а он в лучших традициях современного гуя - в высоту 200%.
Зато с интегрированной иишечкой и банерами с рекламой подписки.
> вс-коде - это лагучийКак пользователь vscode хочу спросить: а где мне на эти лаги посмотреть?
Всегда умиляют такие критики, которые рассказывают про лаги при том, что вообще vscode не пользуются.
Попробуй хоть раз в жизни запустить vscode.
просто есть очень медленные люди и люди, привыкшие к тормозному софту. они другого не знают, и им подобное кажется нормальным
*Сережа, 30 годиков, 64Гб RAM, RTX 5030Ti
Это характеристики обогревателя?
>Как пользователь vscode хочу спросить: а где мне на эти лаги посмотреть?На среднестатистической машинке, что маленький или в твоей реальности веб работает быстрее бинарей??
>Всегда умиляют такие критики, которые рассказывают про лаги при том, что вообще vscode не пользуются.
Попробовал - покритиковал... С чем ты там поспорить решил...?
> в твоей реальности веб работает быстрее бинарей??В моей реальности Electron с нодой вполне себе бинари, написанные на C++ и оптимизированные по самое нехочу. JS там только для скрипттнга испоьзуется.
>>Всегда умиляют такие критики, которые рассказывают про лаги при том, что вообще vscode не пользуются.
> Попробовал - покритиковал... С чем ты там поспорить решил...?С тем, что ты его пробовал, очевидно. Большинство местных экспертов видят "электрон" или "javascript" - и все как в тумане "ыыы, медленно!".
> На среднестатистической машинкеэто на какой конкретно ?
А то, не сказал бы, что сколько-то лагает или тормозит даже на компе с интегрированной графикой и процом далеко не последнего поколения
По крайней мере, ни в какое сравнение с той же Андроид Студио
Зависит от плагинов и объема кода. Может начать лагать вплоть до того, что при наборе текста отклик в "полсекунды" (точно не замерял).
Подтверждаю, вполне прилично работает на Core i5 7200u, если не очень много плагинов. А заместо notepad++ есть vim или nano.
> при существующем вс-коде с горой плагиновЭто тот самый браузер с функцией редактирования текста и централизованным магазином плагинов, куда загружается малварь под видом популярных тем?
> В остальном, даже удивительно, что кто-то этим ещё пользуетсяИнтересно, вюа у этих людей выпадающие менюхи сабжа все еще влазят в экран? В последний раз, когда я его использовал, там такая дичь была, что можно прямо в качестве примера приводить, как не надо делать GUI. Хотя казалось бы - просто навороченый текстовый редактор.
Не всем нужно писать код в них, кому-то просто нужен лёгкий удобный редактор со вкладками и операциями сразу с несколькими файлами. И эта штука идеально подходит. Всшка, конечно, тоже подошла бы, но она громадная и тормознутая
Есть быстрый и функциональный cudatext.
У него вся GUI-часть сделана ящерами, специально чтобы страдали славные русы.
Как будто это что-то плохое.
Этот ваш вскоде придуман инопланетянами с целью обидного смеха и то что в notepad++ сделано внятно, вскоде делает через ж... одно место с распальцовками для осьминогов (потому что "гора плугинов" в его случае родила мышь, большая часть тех плагинов неюзабельный ломучий мусор, где что-то все время отваливается при обновлениях, отключение которых каждый раз более другой геморрой).
Один норм бесплатный редактор с подсветкой синтаксиса и подсказками, в котором можно хоть проект на RN делать( с поддержкой JS/JSX, TS/TSX, Java/Kotlin, мб Swift но не смотрел ), хоть - писать прошивку под ESP32 на C++ с поддержкой компиляции/прошивки прямо из редактора и просмотром данных на отладочном порте. Ну а про веб и прочее даже смысла напоминать, вероятно, нет
Ну и вдобавок, ощущение, что Блокнот++ есть только для винды. Лень проверятьЗабавно будет, если вдруг окажется, что на опеннете столько фанов исключительно винды с закрытыми исходниками и какого-то древнего блокнота, в который регулярно толкают уязвимости. Которые попутно недолюбливают решения, запускающиеся на ОС с открытым исходным кодом
В отличие от Вср-кода, в Notepad++ телеметрии поменьше. Или, быть может, даже совсем нет.
Есть сборки и без телеметрии. Вс-Кодиум что ли называется
> В остальном, даже удивительно, что кто-то этим ещё пользуется при существующем вс-коде с горой плагинов и его подобияхНотепадом++ многие пользуются как простым текстовым редактором. И главная его фича - сохранение сессий без боли из коробки.
Что-то скопировал, открыл новую вкладку в Нотепаде++, закинул туда, что-то преобразовал, накидал каких-то мелких заметок. И можно не бояться, что не сохранил. Собственно я практически никогда в нём ничего не сохранял. Вкладка так и висела пока была актуальна, потом закрывалась.
При переезде на Линукс пару лет назад, оказалось что его трудно заменить.
ВС Код для подобного сценария слишком долго стартует. А если обвешан плагинами - стартует еще дольше. Если он еще и основной редактор кода в системе, то с сессией окна не привязанной ни к какой папке при втором открытом окне (с проектом) может быть жопа. Надо закрывать окна в правильной последовательности. Можно для записулек поставить его аналог (vscodium или code-oss), но все равно все портит долгий старт.
CudaText, когда я его тыкал в последний раз и усиленно пытался адаптировать под себя, работал с неприятными багами под вялендом.
Остальные либо вообще не умеют закрываться с несохраненными файлами, либо могут потерять сессию в той или иной ситуации.
Короче, после долгих поисков, остановился на SublimeText.
Вот и пользуйся васянософтом после этого, хотя редактор хорош
Ты сам знаешь кто является продуктом когда пользуется бесплатным софтом.
там у васянов настолько видимо все плохо с вашими донатами, что они держали инфраструктуру для раздачи обновлений на _shared_hosted_ помойке?Т.е даже на vps'ку с любимой виндой (чем же еще) у них деньгов не хватило.
Но виноват конечно провайдер, не заботился об ихний безопастносте.
Про китайских пользователев особенно занятно, учитывая что в китае, если у тебя все настолько прям плохо что тобой заинтересовались те кто способны на такую тонкую операцию, то к тебе просто придут и засунут нечто толстое куда надо, без всяких сложных ходов. (Хотя... может быть они не отличают китай от тайваня.)
В общем, история мутная, и я бы на вашем месте переучивался на gvim.
притом шареный хостинг плохо, а шареная помойка под кубером - хорошо, збс )))))
Что конкретно то подосвывли? Какого типа малварь? Куда - в установщик, в бинарник, в плагины? Списки, хэши, версии? Кому подсовывали? Нихрена не рассказали, долбитесь как хотите. Тоже мне "разбор".
Боятся, что всплывут имена интересных компаний.
Так им и надо. Автор этого проекта чокнутый активист.
Судя по названию сборочек https://notepad-plus-plus.org/downloads/ этот проект давно превратился в политическую трибуну. Так что не удивительно. Кому нужен просто редактор, лучше держаться от него подальше. Как бы чего другого не выкинули.
У них там борьба, а вы про какое-то там секьюрити
Как раз никакой борьбы. Просто пассивная позиция, про которую зачем-то должны все знать.
Кстати, как-то не обратил на это внимание. Хотя и сабжем лет 10 не пользуюсь
Едва ли в принципе стОит это качать и использовать если у владельца проекта такая помойка в голове. А то мало ли что в следующий "совершенно случайно"(тм) окажется в обновлениях, только теперь уже для русскоязычных пользователей
Поэтому надо сверять хешсуммы на сайте и в файле
Поэтому надо подписывать все релизы цифровой подписью OpenPGP, а разработчикам участвовать в PGP-парти для верификации их публичных ключей по паспорту.
При обновлениях?
Вроде бы явно написали, что атака была именно на уровне обновления программы через штатные методы (не через удаление + установка по-новой).А вообще, несмотря на то, что в своё время notepad++ был (да и по-сути остаётся) одним из лучших текстовых редакторов, из-за политической позиции людей, присвоивших себе Проект, с ним лучше не связываться. Например, официальный сайт не доступен в России, в релизных версиях постоянно имеются политические лозунги, теперь оказывается ещё что при обновлениях была выделена отдельная группа людей для атаки (интересно какая именно?).
В общем, как всегда, - несмотря на хорошее начало с правильным софтом, если управляющий ведёт "не туда", то из этого мало что хорошего получается.
>Атакующий, способный вклиниться в транзитный трафик
>атака стала возможна благодаря взлому сервера совместного хостингаМожет не стоит городить огород и просто юзать github? Ну, если уж win-only софт то пилить...
>В версии Notepad++ 8.8.9 для блокирования подмены обновлений в состав Notepad++ и WinGUpЩа блокнот совсем разжиреет. Чё его вообще патчить, если ломанули Сервак Обнов?!)
Если взломали сервер и раздают что-то некорректно подписанное (отличающейся подписью от ожидаемой), то апдейтер на клиенте откажется устанавливать.
В теории и ожиданиях
Это при условии, если до этого скачали нормальную сборку.
> Перенаправление осуществлялось выборочно только для определённых пользователей, которым отдавался подменённый манифест с информацией об обновлениях.Многое объясняет:
> Multiple independaent security researchers have assessed that the threat acotor is likely a Chinese state-sponsored group, which would explain the highly selective targeting obseved during the campaign.
А что если этот взлом не был случайностью. А некая организация специально заказала протроянить нужных ей людей связанных с ИИ? А авторы проекта выдали это за "конечно же очень случайный взлом" и для вида даже поменяли хостинг. Да не бред какой-то.
Уже не первый случай такой. Аналогичная ситуация была в прошлом году с npm.
Выборочная supply-chain атака + длительная скрытность + оценки независимых исследователей ⇒ **типичный профиль государственной китайской APT**, вероятно с фокусом на китайских корпоративных/гос-пользователей.
А что Моссад, ЦРУ и т.п. это не умеют?
Много раз говорилось. ЦРУ просто приходит и звонит в дверь гражданину США. И он по закону не имеет права. И все что нужно делает вполне официальный автор в мейнлайн. Без всяких схем и не скрываясь. Моссад помогают чисто по религии. Всем остальным надо как-то выкручиваться и что-то придумывать.
Я помню времена, когда на их сайте были надписи к файлам проверки хешей "для параноиков". Хахаха!
Любое автоматическое обновление изначально зло. И те кто так делает явно не друзья. А уж про фанатиков поддерживающих нацистский режим в Украине и говорить нечего. Нет никаких гарантий, что все ваши ключи и пароли из этого изделия не отправляются в надежное место. К этой программе и раньше были вопросы, а теперь придется реально найти этому софту замену.
> этой программе и раньше были вопросыАбсолютно никаких, кривая васяноподелка, виндовсонли
Вопросы к тем кто этим пользуется, любителям винрара и прочего, уж пользуйтесь блокнотом виндовым. От микрософта проблемы прилетают так же регулярно.
> А уж про фанатиков
фанатики виндовса,...ну какбы, должны страдать.
> Любое автоматическое обновление изначально
Да уж, ктобы говорил. Уровень компетенции - боженька.
> с использованием системы автоматической доставки обновленийВ 21 веке? Автоматические обновления? Совсем е6060???
Вам Сноуден 100 раз показывал документы, в которых указывалась работа по активному реверсингу Notepad++ средствами Ghidra в недрах Агентства Национальной Безопасности. Но ежи плакали и кололись, и всё равно продолжали есть кактус.
Алё чувак? Notepad++ имеет копилефт лицензию.
> скомпрометирована сетевая инфраструктура провайдераЧто за провайдер? Не CF ли часом? Все сертификаты уже отозваны и провайдер забанен?