مرحباً،
لدينا نسخة مستضافة ذاتيًا من Discourse على جهاز افتراضي وبعد تطبيق آخر تحديثات Discourse v3.4.0.beta3 +431 تلقينا تنبيهًا من Microsoft Defender بشأن برمجيات Wacatac الخبيثة:
لقد قمنا بإزالة الملف، وأعدنا تشغيل الجهاز الافتراضي، والآن ننتظر تشغيل فحص آخر. حدث هذا بالفعل في ديسمبر 2024 عندما كنا نقوم بسحب أحدث تحديثات Discourse.
يبدو أن Wacatac يأتي بطريقة ما عبر تحديثات Discourse أو قد يكون أيضًا نتيجة إيجابية خاطئة…
هل يواجه أي شخص آخر هذه المشكلة؟
هل يمكنك إخبارنا بالمسار الكامل للملف الذي تم اكتشافه؟
var/lib/docker/overlay2/d5d34d6148be507180106dc3b39b8b3d266b5e221fd5df48ce023df57186d4ef/diff/home/discourse/.local/share/pnpm/store/v3/files
(نجده دائمًا هنا)
.../pnpm/store/v3/files هو دليل. هل لديك اسم الملف المحدد أيضاً؟
/var/lib/docker/overlay2/93cd7bbb9de06047b645e0b7e3fd788546257d0b2d980e21df3cb0c5c802e80f/diff/home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
وللخاص بشهر ديسمبر 2024:
/var/lib/docker/overlay2/d5d34d6148be507180106dc3b39b8b3d266b5e221fd5df48ce023df57186d4ef/diff/home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
شكراً على المعلومات الإضافية!
قام @mwaniki بمساعدتي في إجراء بعض الفحوصات على هذا. الملف الأول الذي شاركته هو ذاكرة تخزين مؤقت لملف lefthook الثنائي:
$ md5sum /home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
8bfaa34901d5a7b34090b3a862793f90 /home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
$ find /var/www/discourse/node_modules/ -type f -exec md5sum {} + | grep '^8bfaa34901d5a7b34090b3a862793f90'
8bfaa34901d5a7b34090b3a862793f90 node_modules/.pnpm/lefthook-linux-x64@1.10.8/node_modules/lefthook-linux-x64/bin/lefthook
والثاني هو esbuild:
$ md5sum /home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
25b47c7a561185d07c8c3d98ade527af /home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
$ find node_modules/ -type f -exec md5sum {} + | grep '^25b47c7a561185d07c8c3d98ade527af'
25b47c7a561185d07c8c3d98ade527af node_modules/.pnpm/@esbuild+linux-x64@0.24.2/node_modules/@esbuild/linux-x64/bin/esbuild
25b47c7a561185d07c8c3d98ade527af node_modules/.pnpm/esbuild@0.24.2/node_modules/esbuild/bin/esbuild
تتوافق تجزئات md5 هذه مع الإصدارات المنشورة على npm، لذلك يمكننا التأكد من أنها لم يتم العبث بها بين السجل وتثبيتك:
$ curl -s https://registry.npmjs.org/@esbuild/linux-x64/-/linux-x64-0.24.2.tgz | tar -Oxzf - package/bin/esbuild | md5sum
25b47c7a561185d07c8c3d98ade527af -
$ curl -s https://registry.npmjs.org/lefthook-linux-x64/-/lefthook-linux-x64-1.10.8.tgz | tar -Oxzf - package/bin/lefthook | md5sum
8bfaa34901d5a7b34090b3a862793f90 -
لذلك أعتقد أن هذا يجب أن يكون إيجابيًا خاطئًا من Microsoft Defender. إزالة esbuild من تثبيت Discourse الخاص بك سيسبب مشاكل، لذا لا أنصح بذلك.
بالبحث عبر الإنترنت، يبدو أن Microsoft Defender ينبه بشكل خاطئ لحزم npm أمر شائع. هذا مثال لكشف خاطئ لـ esbuild في الماضي.
سوف نحاول الآن التواصل مع فريق دعم Microsoft Defender ومشاركة ملاحظاتهم إذا/عندما نحصل عليها.
كما وعدنا، إليك التعليقات الحالية من دعم Microsoft:
