Discourse-Updates – Microsoft Defender meldet Erkennung des Wacatac-Malware

Hallo,

Wir haben eine selbst gehostete Instanz von Discourse auf einer virtuellen Maschine und nach dem Anwenden der neuesten Discourse-Updates v3.4.0.beta3 +431 haben wir eine Warnung von Microsoft Defender bezüglich Wacatac-Malware erhalten:

image1625×1245 210 KB

Wir haben die Datei entfernt, die virtuelle Maschine neu gestartet und warten nun auf den nächsten Scan. Dies ist bereits im Dezember 2024 passiert, als wir die neuesten Discourse-Updates eingespielt haben.
Es scheint, dass Wacatac irgendwie über Discourse-Updates eingeschleppt wird oder es könnte auch ein Fehlalarm sein…

Gibt es sonst noch jemanden, der dieses Problem hat?

[quote=“MiaZ, post:1, topic:348004”]
Wir haben die Datei entfernt
[/quote]Können Sie uns bitte den vollständigen Pfad der erkannten Datei mitteilen?

var/lib/docker/overlay2/d5d34d6148be507180106dc3b39b8b3d266b5e221fd5df48ce023df57186d4ef/diff/home/discourse/.local/share/pnpm/store/v3/files

(Wir finden es immer hier)

.../pnpm/store/v3/files ist ein Verzeichnis. Haben Sie auch den Namen der spezifischen Datei?

/var/lib/docker/overlay2/93cd7bbb9de06047b645e0b7e3fd788546257d0b2d980e21df3cb0c5c802e80f/diff/home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec

Und für die vom Dezember 2024:
/var/lib/docker/overlay2/d5d34d6148be507180106dc3b39b8b3d266b5e221fd5df48ce023df57186d4ef/diff/home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec

Vielen Dank für die zusätzlichen Informationen!

@mwaniki hat mir bei einigen Überprüfungen geholfen. Die erste von Ihnen geteilte Datei ist ein Cache der lefthook-Binärdatei:

$ md5sum /home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
8bfaa34901d5a7b34090b3a862793f90  /home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
$ find /var/www/discourse/node_modules/ -type f -exec md5sum {} + | grep '^8bfaa34901d5a7b34090b3a862793f90'
8bfaa34901d5a7b34090b3a862793f90  node_modules/.pnpm/lefthook-linux-x64@1.10.8/node_modules/lefthook-linux-x64/bin/lefthook

Die zweite ist esbuild:

$ md5sum /home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
25b47c7a561185d07c8c3d98ade527af  /home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
$ find node_modules/ -type f -exec md5sum {} + | grep '^25b47c7a561185d07c8c3d98ade527af'
25b47c7a561185d07c8c3d98ade527af  node_modules/.pnpm/@esbuild+linux-x64@0.24.2/node_modules/@esbuild/linux-x64/bin/esbuild
25b47c7a561185d07c8c3d98ade527af  node_modules/.pnpm/esbuild@0.24.2/node_modules/esbuild/bin/esbuild

Diese md5-Hashes entsprechen den veröffentlichten Versionen auf npm, sodass wir sicher sein können, dass sie zwischen der Registrierung und Ihrer Installation nicht manipuliert wurden:

$ curl -s https://registry.npmjs.org/@esbuild/linux-x64/-/linux-x64-0.24.2.tgz | tar -Oxzf - package/bin/esbuild | md5sum
25b47c7a561185d07c8c3d98ade527af  -
$ curl -s https://registry.npmjs.org/lefthook-linux-x64/-/lefthook-linux-x64-1.10.8.tgz | tar -Oxzf - package/bin/lefthook | md5sum
8bfaa34901d5a7b34090b3a862793f90  -

Ich denke, dies ist ein Fehlalarm von Microsoft Defender. Das Entfernen von esbuild aus Ihrer Discourse-Installation würde Probleme verursachen, daher würde ich davon abraten.

Bei der Online-Suche scheint es, dass Microsoft Defender fälschlicherweise vor npm-Paketen warnt, was ziemlich häufig vorkommt. Hier ist ein Beispiel für eine fehlerhafte Erkennung von esbuild in der Vergangenheit.

Vielen Dank, @david und @mwaniki!

Wir werden nun versuchen, das Support-Team von Microsoft Defender zu kontaktieren und ihr Feedback weiterzugeben, wenn wir eines erhalten.

Wie versprochen, hier ist das aktuelle Feedback vom Microsoft-Support:

• Dateien in Microsoft Defender for Cloud als „sauber“ markieren, um den Alarm zu beheben → das haben wir getan, sehen es aber nicht als Beitrag zur Problemlösung, da jedes Mal eine andere Datei fälschlicherweise gemeldet wird
• Gesamten Alarm in Microsoft Defender for Cloud unterdrücken → das wollten wir nicht tun, um mögliche tatsächliche Bedrohungen in der Zukunft nicht zu verpassen
• Verbesserung des Defender-Scan-Algorithmus und/oder der internen Datenbank vorschlagen → das haben wir getan und warten auf Feedback: Community