Durante un momento se llego a pensar que los archivos de inkscape estaban comprometidos

Hace pocos días se dio a conocer la noticia de qué desarrolladores de la distribución NixOS se percataron de rastros de actividad maliciosa en el host utilizado para descargar el editor gratuito de gráficos vectoriales, Inkscape, «media.inkscape.org».

Sobre la noticia mencionan que durante un pequeño análisis en el host de descarga de Inkscape, detectaron dentro del directorio «/dl/resources/file/», desde donde se organiza la descarga de las versiones oficiales de Inkscape, un archivo index con un formulario de registro de un casino en línea que envía datos a un número de WhatsApp.

En cuestión el archivo «index.html» llevo a pensar a los desarrolladores de NixOS, que el host donde se proporcionan los archivos de Inkscape había sido comprometido y sobre todo que potencialmente, durante el ataque, los archivos proporcionados para descargar desde Inkscape podrían haberse comprometido. 

Al visitar la URL se muestra algún tipo de página html que contiene spam no relacionado con Inkscape (extracto a continuación):

<!DOCTYPE html>
<html>

<head>
<title>DAFTAR 1 AKUN UNTUK SEMUA JENIS GAME SLOT ONLINE</title>
<meta charset=»utf-8″>

Ante ello, los desarrolladores de NixOS, contactaron e informaron a los desarrolladores de Inkscape sobre el asunto, a lo cual de manera inicial no habían dado respuesta alguna sobre el caso, lo que llevo a pensar en lo peor por parte de los usuarios.

Al poco tiempo los representantes del proyecto Inkscape salieron a aclarar la situación y a calmar a la comunidad, ya que informaron que el archivo index.html “problemático” es un archivo que se había estando “colando” ya que es de un incidente pasado.

Perdón por el archivo index.html, que se colocó en nuestro servidor hace mucho tiempo, y aunque la entrada de la base de datos de recursos se borró hace mucho tiempo, el archivo permaneció en el sistema de archivos y el caché rápido continuó duplicándolo. 

Borré el archivo html, restablecí el caché rápido (tanto para / como para index.html) y realicé comprobaciones de integridad en todos los archivos, el servidor web y varias posibilidades de intrusión, todas ellas negativas. Este archivo se cargó a través de las cargas de la galería en el sitio web, algo que cualquiera puede hacer. Un archivo de índice ahora se interpone en el camino para evitar que esto vuelva a suceder.

Si desea verificar el archivo tar de origen, siempre recomiendo compararlo con la firma gpg cargada en la aplicación de versiones aquí Inkscape 1.3 – Fuente: Archivo: xz tarball | Inkscape y verifícalo con el gitlab sha que ya has hecho para obtener puntos de paranoia adicionales.

Perdón por el problema.

En su explicación se informa que el archivo como tal, un archivo que apareció en el servidor del proyecto hace mucho tiempo, dado que se permitía que «cualquier usuario» pudieran cargar contenido, un usuario fue el que aprovecho esta falla para colocar el archivo index en el host de Inkscape.

Cuando las cosas cambiaron, explican que teoría este archivo se ha debido eliminó de la base de datos de recursos hace mucho tiempo, pero debido a un descuido permaneció en el sistema de archivos y continuó siendo reflejado por el sistema de almacenamiento en caché de Fastly. Ademas de ello, los desarrolladores informaron que para que la comunidad pudiera estar tranquila, se realizo una verificación de todos los archivos y confirmaron que no se violó la integridad de los datos.

Cabe mencionar que también se anunció una revisión del modelo de gestión de lanzamientos, ya que la capacidad de cargar archivos arbitrarios al servidor de descarga a través de la galería puede considerarse una vulnerabilidad. Entre otras cosas, un extraño podría cargar su propio archivo tar.gz con cambios maliciosos en el servidor media.inkscape.org y presentarlo como una versión.

Para verificar la integridad de los archivos descargados, los desarrolladores recomiendan utilizar enlaces de descarga del sitio oficial, comparar la suma de verificación con los datos de GitLab y verificar la firma digital creada por la clave GPG del proyecto.

Finalmente si estás interesado en poder conocer más al respecto, puedes consultar los detalles en el siguiente enlace.