Я получил отчет от сканера XRay в JFrog о том, что базовый образ Discourse версии 2.0.20240904-0335 содержит вредоносный код в трех пакетах:
dialog-holder:1.0.0
float-kit:1.0.0
custom-proxy:1.0.0
Затем я провел небольшое исследование и также обнаружил, что эти три пакета с такими же названиями и версиями были сообщены на сайте https://vulert.com
(Я добавлю это в комментарий, так как не могу разместить более двух ссылок в сообщении)
Сталкивались ли вы с подобными проблемами ранее? Являются ли эти находки результатом работы Discourse или других пакетов, так как я не могу найти никаких сообщенных пакетов на npm.js?
Мы видели нечто подобное с JFrog. Похоже, это неоднозначное имя для нескопированного пакета, а не реальная проблема.
В репозитории Discourse действительно есть пакет под названием float-kit, но он никак не связан с float-kit на npmjs. Остальные пакеты по сути аналогичны.
В идеале даже эти локальные пакеты должны быть скопированы, но так как они ссылаются из workspace, версия 1.0.0, которую он подтягивает, берётся из его собственного репозитория.
Я не видел никакой отправки провенанса, и JFrog во многих случаях просто проверяет имена и версии, поэтому это должно попасть в ваш процесс обработки ложных срабатываний с использованием контроля.
