Egy megtévesztő weboldal jelent meg az interneten, amely „Notepad++ for Mac” néven hirdet letöltést, és azt a látszatot kelti, hogy a Notepad++ natív macOS verziója elérhetővé vált. Az oldal arculati elemei, beleértve a logót, a zöld színvilágot és a vizuális elemeket megtévesztően hasonlítanak a hivatalos Notepad++ projektre, így könnyen félrevezetheti a felhasználókat.

A kezdőlapon szereplő marketing szöveg szerint az alkalmazás emuláció nélkül, natív módon fut Apple Silicon és Intel alapú macOS rendszereken, és a „régóta várt” hivatalos kiadásként hirdeti magát. Ez azt a benyomást keltheti, hogy a szoftver az eredeti fejlesztők támogatásával készült, ami nem felel meg a valóságnak.

A Notepad++ továbbra is egy kizárólag Windows platformra elérhető szövegszerkesztő. A projekt alapítója, Don Ho közleményében jelezte, hogy az érintett weboldal semmilyen kapcsolatban nem áll a hivatalos fejlesztéssel, és jogosulatlanul használja a projekt nevét, valamint az ő személyazonosságát. Az „Authors” oldalon például Ho-t a macOS-port fejlesztőjeként tüntetik fel, ami megtévesztő és valótlan állítás.

A Notepad++ eddig nem adott ki hivatalos macOS verziót

Ho elmagyarázta, hogy bár a kód alapja lehet a nyílt forráskódú Notepad++ repository, a probléma az, ahogyan az oldal magát hivatalos termékként reklámozza. Ez a gyakorlat túlmutat az egyszerű portoláson, és védjegybitorlás gyanúját veti fel. Ho azt is megjegyezte, hogy a felhasználók többsége nem olvassa el alaposan a figyelmeztetéseket, így sokan gondolkodás nélkül letöltik az alkalmazást, és azt hiszik, hogy egy hivatalos Notepad++ kiadást használnak.

Miért jelenthet ez biztonsági kockázatot?

Kiberbiztonsági szempontból a helyzet különösen kockázatos. A felhasználók egy nem hivatalos, harmadik fél által terjesztett szoftvert tölthetnek le abban a hitben, hogy az megbízható forrásból származik. Még ha a jelenlegi verzió nem is tartalmaz rosszindulatú kódot, a későbbi frissítések során megjelenhetnek kártékony komponensek, például backdoor-ok vagy kémprogramok. A márkanév iránti bizalom miatt a felhasználók ezeket a frissítéseket nagy valószínűséggel mérlegelés nélkül telepítik.

Az alkalmazást „Apple által hitelesítettként” is hirdetik, azonban a notarizáció nem jelent teljes körű biztonsági garanciát, csupán azt igazolja, hogy a szoftver egy adott időpontban megfelelt az automatizált ellenőrzéseknek.

A problémát súlyosbítja, hogy egyes médiamegjelenések és fórumok tévesen már tényként közölték a macOS-verzió létezését, tovább növelve a megtévesztést. A keresési találatok között előkelő helyen megjelenő hamis oldalak ráadásul ideális alapot biztosítanak későbbi, akár már kifejezetten rosszindulatú verziók terjesztésére.

A felhasználóknak javasolt minden „Notepad++ for Mac” ajánlatot nem hivatalos forrásként kezelni. A szoftver kizárólag a hivatalos weboldalról tölthető le, ahol továbbra is csak Windows-verzió érhető el. MacOS rendszeren célszerű megbízható alternatívákat, például a Visual Studio Code-ot használni. Amennyiben az alkalmazás már telepítésre került, indokolt annak eltávolítása és a rendszer biztonsági ellenőrzése.