Actualizaciones de Discourse: Microsoft Defender informa detección de malware Wacatac

Soporte
1

Hola,

Tenemos una instancia autoalojada de Discourse en una máquina virtual y, después de aplicar las actualizaciones más recientes de Discourse v3.4.0.beta3 +431, hemos recibido una alerta de Microsoft Defender sobre el malware Wacatac:

image
image1625×1245 210 KB

Hemos eliminado el archivo, reiniciado la máquina virtual y ahora estamos esperando a que se ejecute otro escaneo. Esto ya sucedió en diciembre de 2024, cuando estábamos aplicando las actualizaciones más recientes de Discourse.
Parece que Wacatac está llegando de alguna manera a través de las actualizaciones de Discourse o también podría ser un falso positivo…

¿Alguien más está experimentando este problema?

1 me gusta
2

¿Podría indicarnos la ruta completa del archivo que detectó?

4 Me gusta
3

var/lib/docker/overlay2/d5d34d6148be507180106dc3b39b8b3d266b5e221fd5df48ce023df57186d4ef/diff/home/discourse/.local/share/pnpm/store/v3/files

(siempre lo encontramos aquí)

2 Me gusta
4

.../pnpm/store/v3/files es un directorio. ¿Tienes también el nombre del archivo específico?

1 me gusta
5

/var/lib/docker/overlay2/93cd7bbb9de06047b645e0b7e3fd788546257d0b2d980e21df3cb0c5c802e80f/diff/home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec

Y para el de diciembre de 2024:
/var/lib/docker/overlay2/d5d34d6148be507180106dc3b39b8b3d266b5e221fd5df48ce023df57186d4ef/diff/home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec

2 Me gusta
6

¡Gracias por la información adicional!

@mwaniki me ayudó a realizar algunas comprobaciones. El primer archivo que compartiste es una caché del binario de lefthook:

$ md5sum /home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
8bfaa34901d5a7b34090b3a862793f90  /home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
$ find /var/www/discourse/node_modules/ -type f -exec md5sum {} + | grep '^8bfaa34901d5a7b34090b3a862793f90'
8bfaa34901d5a7b34090b3a862793f90  node_modules/.pnpm/lefthook-linux-x64@1.10.8/node_modules/lefthook-linux-x64/bin/lefthook

El segundo es esbuild:

$ md5sum /home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
25b47c7a561185d07c8c3d98ade527af  /home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
$ find node_modules/ -type f -exec md5sum {} + | grep '^25b47c7a561185d07c8c3d98ade527af'
25b47c7a561185d07c8c3d98ade527af  node_modules/.pnpm/@esbuild+linux-x64@0.24.2/node_modules/@esbuild/linux-x64/bin/esbuild
25b47c7a561185d07c8c3d98ade527af  node_modules/.pnpm/esbuild@0.24.2/node_modules/esbuild/bin/esbuild

Esos hashes md5 corresponden a las versiones publicadas en npm, por lo que podemos estar seguros de que no han sido manipulados entre el registro y tu instalación:

$ curl -s https://registry.npmjs.org/@esbuild/linux-x64/-/linux-x64-0.24.2.tgz | tar -Oxzf - package/bin/esbuild | md5sum
25b47c7a561185d07c8c3d98ade527af  -
$ curl -s https://registry.npmjs.org/lefthook-linux-x64/-/lefthook-linux-x64-1.10.8.tgz | tar -Oxzf - package/bin/lefthook | md5sum
8bfaa34901d5a7b34090b3a862793f90  -

Así que creo que esto tiene que ser un falso positivo de Microsoft Defender. Eliminar esbuild de tu instalación de Discourse causará problemas, así que te recomendaría que no lo hicieras.

Buscando en línea, parece que Microsoft Defender a veces da falsas alarmas contra paquetes de npm. Aquí tienes un ejemplo de una detección falsa de esbuild en el pasado.

9 Me gusta
7

¡Muchas gracias @david y @mwaniki! :clinking_glasses:

Ahora intentaremos ponernos en contacto con el equipo de soporte de Microsoft Defender y compartiremos sus comentarios si los recibimos.

2 Me gusta
8

Como prometido, aquí están los comentarios actuales del soporte de Microsoft:

  • Marcar archivos como limpios en Microsoft Defender for Cloud para resolver la alerta → lo hicimos, pero no lo consideramos una contribución a la resolución del problema, ya que cada vez se informa de un archivo diferente de forma errónea.
  • Suprimir alerta completa en Microsoft Defender for Cloud → no quisimos hacer esto para no perder posibles amenazas reales en el futuro.
  • Enviar idea para la mejora del algoritmo de escaneo de Defender y/o base de datos interna → lo hicimos, esperando comentarios: Community
2 Me gusta