تحديثات Discourse - تقارير Microsoft Defender عن اكتشاف برنامج Wacatac الضار

david · 20 يناير 2025، 5:00م

شكراً على المعلومات الإضافية!

قام @mwaniki بمساعدتي في إجراء بعض الفحوصات على هذا. الملف الأول الذي شاركته هو ذاكرة تخزين مؤقت لملف lefthook الثنائي:

$ md5sum /home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
8bfaa34901d5a7b34090b3a862793f90  /home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
$ find /var/www/discourse/node_modules/ -type f -exec md5sum {} + | grep '^8bfaa34901d5a7b34090b3a862793f90'
8bfaa34901d5a7b34090b3a862793f90  node_modules/.pnpm/lefthook-linux-x64@1.10.8/node_modules/lefthook-linux-x64/bin/lefthook

والثاني هو esbuild:

$ md5sum /home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
25b47c7a561185d07c8c3d98ade527af  /home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
$ find node_modules/ -type f -exec md5sum {} + | grep '^25b47c7a561185d07c8c3d98ade527af'
25b47c7a561185d07c8c3d98ade527af  node_modules/.pnpm/@esbuild+linux-x64@0.24.2/node_modules/@esbuild/linux-x64/bin/esbuild
25b47c7a561185d07c8c3d98ade527af  node_modules/.pnpm/esbuild@0.24.2/node_modules/esbuild/bin/esbuild

تتوافق تجزئات md5 هذه مع الإصدارات المنشورة على npm، لذلك يمكننا التأكد من أنها لم يتم العبث بها بين السجل وتثبيتك:

$ curl -s https://registry.npmjs.org/@esbuild/linux-x64/-/linux-x64-0.24.2.tgz | tar -Oxzf - package/bin/esbuild | md5sum
25b47c7a561185d07c8c3d98ade527af  -
$ curl -s https://registry.npmjs.org/lefthook-linux-x64/-/lefthook-linux-x64-1.10.8.tgz | tar -Oxzf - package/bin/lefthook | md5sum
8bfaa34901d5a7b34090b3a862793f90  -

لذلك أعتقد أن هذا يجب أن يكون إيجابيًا خاطئًا من Microsoft Defender. إزالة esbuild من تثبيت Discourse الخاص بك سيسبب مشاكل، لذا لا أنصح بذلك.

بالبحث عبر الإنترنت، يبدو أن Microsoft Defender ينبه بشكل خاطئ لحزم npm أمر شائع. هذا مثال لكشف خاطئ لـ esbuild في الماضي.

الموضوع		الردود	مرات العرض
Sucuri reports a malware infection? Support	6	2445	8 يونيو 2024
A malware report WordPress	10	1103	26 أبريل 2019
Vulnerabilities in the official Docker image Development	1	883	19 مايو 2023
Discourse Vulnerability [False Positive] Support	3	1502	10 يونيو 2019
CVE-2021-41163 false positive Support	4	95	6 يناير 2026

تحديثات Discourse - تقارير Microsoft Defender عن اكتشاف برنامج Wacatac الضار

الموضوعات ذات الصلة