こんにちは。
仮想マシン上で自己ホスト型の Discourse インスタンスを運用しており、最新の Discourse アップデート v3.4.0.beta3 +431 を適用した後、Microsoft Defender から Wacatac マルウェアに関するアラートを受け取りました。
ファイルを削除し、仮想マシンを再起動しました。現在、別のスキャンが実行されるのを待っています。これは、2024年12月に最新の Discourse アップデートをプルした際にも発生しました。
Wacatac が Discourse アップデート経由で何らかの形で混入しているか、あるいは誤検知の可能性もあるようです…
他にこの問題に直面している方はいらっしゃいますか?
検出されたファイルのフルパスをお知らせいただけますか?
var/lib/docker/overlay2/d5d34d6148be507180106dc3b39b8b3d266b5e221fd5df48ce023df57186d4ef/diff/home/discourse/.local/share/pnpm/store/v3/files
(いつもここにあります)
.../pnpm/store/v3/files はディレクトリです。特定のファイル名もわかりますか?
/var/lib/docker/overlay2/93cd7bbb9de06047b645e0b7e3fd788546257d0b2d980e21df3cb0c5c802e80f/diff/home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
2024年12月からのものについてはこちらです。
/var/lib/docker/overlay2/d5d34d6148be507180106dc3b39b8b3d266b5e221fd5df48ce023df57186d4ef/diff/home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
追加情報ありがとうございます!
@mwaniki がこの件についていくつか確認するのを手伝ってくれました。最初に共有されたファイルは lefthook バイナリのキャッシュです。
$ md5sum /home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
8bfaa34901d5a7b34090b3a862793f90 /home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
$ find /var/www/discourse/node_modules/ -type f -exec md5sum {} + | grep '^8bfaa34901d5a7b34090b3a862793f90'
8bfaa34901d5a7b34090b3a862793f90 node_modules/.pnpm/lefthook-linux-x64@1.10.8/node_modules/lefthook-linux-x64/bin/lefthook
2番目のファイルは esbuild です。
$ md5sum /home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
25b47c7a561185d07c8c3d98ade527af /home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
$ find node_modules/ -type f -exec md5sum {} + | grep '^25b47c7a561185d07c8c3d98ade527af'
25b47c7a561185d07c8c3d98ade527af node_modules/.pnpm/@esbuild+linux-x64@0.24.2/node_modules/@esbuild/linux-x64/bin/esbuild
25b47c7a561185d07c8c3d98ade527af node_modules/.pnpm/esbuild@0.24.2/node_modules/esbuild/bin/esbuild
これらの md5 ハッシュは npm で公開されているバージョンに対応しているため、レジストリとインストールされたものの間で改ざんされていないことを確信できます。
$ curl -s https://registry.npmjs.org/@esbuild/linux-x64/-/linux-x64-0.24.2.tgz | tar -Oxzf - package/bin/esbuild | md5sum
25b47c7a561185d07c8c3d98ade527af -
$ curl -s https://registry.npmjs.org/lefthook-linux-x64/-/lefthook-linux-x64-1.10.8.tgz | tar -Oxzf - package/bin/lefthook | md5sum
8bfaa34901d5a7b34090b3a862793f90 -
そのため、これは Microsoft Defender による誤検知である可能性が高いと思われます。Discourse のインストールから esbuild を削除すると問題が発生するため、お勧めしません。
オンラインで検索すると、Microsoft Defender が npm パッケージに対して誤って警告を発することがよくあるようです。これは過去の esbuild の誤検出の例です。
お約束通り、Microsoftサポートからの現在のフィードバックは以下の通りです。\n\n- Microsoft Defender for Cloud でファイルをクリーンとしてマークし、アラートを解決する → これを行いましたが、毎回異なるファイルが誤って報告されるため、問題解決に貢献しているとは考えていません。\n- Microsoft Defender for Cloud でアラート全体を抑制する → 将来的に実際の脅威を見逃す可能性を避けるため、これを行いたくありませんでした。\n- Defender スキャンアルゴリズムおよび/または内部データベースの改善のためのアイデアを提出する → これを行いました。フィードバックを待っています: Community
