BandaAncha

  • 🔍 en 📰 artículos ⏎
  • 🔍 en 💬 foros ⏎
  • 🔍 en 👇 este 💬 foro ⏎
  • 🔍 en 👇 este 💬 tema ⏎
Regístrate Regístrate Identifícate Identifícate
💭

AutoHotkey, un cuasi malware dentro de paquete Nmap para Windows de Chocolatey

vukits

El otro día fui a instalar nmap para Windows, usando el gestor Chocolatey.

Alguién ha tenido la magnífica idea de meter como hard-dependency el software AutoHotkey.

AutoHotkey es un buen software, pero puede ser usado como vector de instalación de malware.

imagen

Al ser hard dependency, no puedo desinstalar autohotkey sin desinstalar nmap.

No me hace gracia esta chapuza de Chocolatey, hasta ahora les tenía confianza, pero ahora de repente dudo.

lhacc

[contenido retirado]

pepejil

Autohotkey es un buen software, pero puede ser usado como vector de instalación de malware.

El problema no es el propio módulo. El problema es si NMAP no lo ha tenido en cuenta (que lo dudo).

Habría que ver en qué casos NMAP requiere ese módulo para analizar la posible problemática, pero dentro de un ámbito cerrado, no debería ser ningún peligro.

P B Fierro

Y no puedes borrar el Autohotkey a mano sin desinstalarlo?

Detienes el ejecutable con el taskmanager, borras todas las claves del registro donde aparezca Autohotkey, y luego borras la carpeta con el programa…

🗨️ 1
vukits
1

Y no puedes borrar el Autohotkey a mano sin desinstalarlo?

en el próximo 'upgrade all' de chocolatey, lo volverá a instalar.

lhacc
1

[contenido retirado]

🗨️ 5
Amenhotep

Pues tampoco me parece. Si el usuario tiene que ser informado y dar su consentimiento será por algo.

🗨️ 4
lhacc

[contenido retirado]

🗨️ 3
vukits

creo que hay que distinguir entre aplicaciones como 'ninite' que sirve justo para eso:automatizar instalaciones, y chocolatey que es un gestor de paquetes (creo que también hay alternativas como NuGet)

pjpmosteiro
1

Hay mejores formas de hacerlo. Lo suyo sería meter un issue en el github para que incluyan un modo –silent.

Si Winget puede, chocolatey también. Lo mismo para APT.

Amenhotep

Uso apt de forma frecuente. Y aunque está muy automatizado cuando hay un conflicto, modificar una configuración o parar algún servicio lanza un aviso y es el usuario el que tiene que contestar. Como debe ser.