Atualizações do Discourse - Microsoft Defender relata detecção do malware Wacatac

david · Janeiro 20, 2025, 5:00pm

Obrigado pelas informações adicionais!

@mwaniki me ajudou a fazer algumas verificações sobre isso. O primeiro arquivo que você compartilhou é um cache do binário lefthook:

$ md5sum /home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
8bfaa34901d5a7b34090b3a862793f90  /home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
$ find /var/www/discourse/node_modules/ -type f -exec md5sum {} + | grep '^8bfaa34901d5a7b34090b3a862793f90'
8bfaa34901d5a7b34090b3a862793f90  node_modules/.pnpm/lefthook-linux-x64@1.10.8/node_modules/lefthook-linux-x64/bin/lefthook

O segundo é o esbuild:

$ md5sum /home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
25b47c7a561185d07c8c3d98ade527af  /home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
$ find node_modules/ -type f -exec md5sum {} + | grep '^25b47c7a561185d07c8c3d98ade527af'
25b47c7a561185d07c8c3d98ade527af  node_modules/.pnpm/@esbuild+linux-x64@0.24.2/node_modules/@esbuild/linux-x64/bin/esbuild
25b47c7a561185d07c8c3d98ade527af  node_modules/.pnpm/esbuild@0.24.2/node_modules/esbuild/bin/esbuild

Esses hashes md5 correspondem às versões publicadas no npm, então podemos ter certeza de que elas não foram adulteradas entre o registro e sua instalação:

$ curl -s https://registry.npmjs.org/@esbuild/linux-x64/-/linux-x64-0.24.2.tgz | tar -Oxzf - package/bin/esbuild | md5sum
25b47c7a561185d07c8c3d98ade527af  -
$ curl -s https://registry.npmjs.org/lefthook-linux-x64/-/lefthook-linux-x64-1.10.8.tgz | tar -Oxzf - package/bin/lefthook | md5sum
8bfaa34901d5a7b34090b3a862793f90  -

Então, acho que isso tem que ser um falso positivo do Microsoft Defender. Remover o esbuild da sua instalação do Discourse causará problemas, então eu não recomendo isso.

Pesquisando online, parece que o Microsoft Defender alertando falsamente contra pacotes npm é bastante comum. Aqui está um exemplo de uma detecção falsa do esbuild no passado.

Tópico		Respostas	Visualizações
Sucuri reports a malware infection? Support	6	2445	8 de Junho de 2024
A malware report WordPress	10	1103	26 de Abril de 2019
Vulnerabilities in the official Docker image Development	1	883	19 de Maio de 2023
Discourse Vulnerability [False Positive] Support	3	1502	10 de Junho de 2019
CVE-2021-41163 false positive Support	4	95	6 de Janeiro de 2026

Atualizações do Discourse - Microsoft Defender relata detecção do malware Wacatac

Tópicos relacionados