Mises à jour de Discourse - Microsoft Defender signale la détection du malware Wacatac

Soutien
1

Salut,

Nous avons une instance auto-hébergée de Discourse sur une machine virtuelle et après avoir appliqué les mises à jour les plus récentes de Discourse v3.4.0.beta3 +431, nous avons reçu une alerte de Microsoft Defender concernant le malware Wacatac :

image
image1625×1245 210 KB

Nous avons supprimé le fichier, redémarré la machine virtuelle et nous attendons maintenant qu’un autre scan s’exécute. Cela s’est déjà produit en décembre 2024 lorsque nous avons effectué les mises à jour les plus récentes de Discourse.
Il semble que Wacatac provienne d’une manière ou d’une autre des mises à jour de Discourse ou qu’il puisse également s’agir d’un faux positif…

Quelqu’un d’autre rencontre-t-il ce problème ?

1 « J'aime »
2

Pouvez-vous s’il vous plaît nous indiquer le chemin complet du fichier qu’il a détecté ?

4 « J'aime »
3

var/lib/docker/overlay2/d5d34d6148be507180106dc3b39b8b3d266b5e221fd5df48ce023df57186d4ef/diff/home/discourse/.local/share/pnpm/store/v3/files

(nous le trouvons toujours ici)

2 « J'aime »
4

.../pnpm/store/v3/files est un répertoire. Avez-vous également le nom du fichier spécifique ?

1 « J'aime »
5

/var/lib/docker/overlay2/93cd7bbb9de06047b645e0b7e3fd788546257d0b2d980e21df3cb0c5c802e80f/diff/home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec

Et pour celui de décembre 2024 :
/var/lib/docker/overlay2/d5d34d6148be507180106dc3b39b8b3d266b5e221fd5df48ce023df57186d4ef/diff/home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec

2 « J'aime »
6

Merci pour les informations supplémentaires !

@mwaniki m’a aidé à effectuer quelques vérifications à ce sujet. Le premier fichier que vous avez partagé est un cache du binaire lefthook :

$ md5sum /home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
8bfaa34901d5a7b34090b3a862793f90  /home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
$ find /var/www/discourse/node_modules/ -type f -exec md5sum {} + | grep '^8bfaa34901d5a7b34090b3a862793f90'
8bfaa34901d5a7b34090b3a862793f90  node_modules/.pnpm/lefthook-linux-x64@1.10.8/node_modules/lefthook-linux-x64/bin/lefthook

Le second est esbuild :

$ md5sum /home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
25b47c7a561185d07c8c3d98ade527af  /home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
$ find node_modules/ -type f -exec md5sum {} + | grep '^25b47c7a561185d07c8c3d98ade527af'
25b47c7a561185d07c8c3d98ade527af  node_modules/.pnpm/@esbuild+linux-x64@0.24.2/node_modules/@esbuild/linux-x64/bin/esbuild
25b47c7a561185d07c8c3d98ade527af  node_modules/.pnpm/esbuild@0.24.2/node_modules/esbuild/bin/esbuild

Ces hachages md5 correspondent aux versions publiées sur npm, nous pouvons donc être sûrs qu’elles n’ont pas été falsifiées entre le registre et votre installation :

$ curl -s https://registry.npmjs.org/@esbuild/linux-x64/-/linux-x64-0.24.2.tgz | tar -Oxzf - package/bin/esbuild | md5sum
25b47c7a561185d07c8c3d98ade527af  -
$ curl -s https://registry.npmjs.org/lefthook-linux-x64/-/lefthook-linux-x64-1.10.8.tgz | tar -Oxzf - package/bin/lefthook | md5sum
8bfaa34901d5a7b34090b3a862793f90  -

Je pense donc qu’il s’agit d’un faux positif de la part de Microsoft Defender. Supprimer esbuild de votre installation Discourse causerait des problèmes, je vous le déconseille donc.

En cherchant en ligne, il semble que Microsoft Defender signale à tort des paquets npm assez souvent. Voici un exemple de détection erronée de esbuild par le passé.

9 « J'aime »
7

Merci beaucoup @david et @mwaniki ! :clinking_glasses:

Nous allons maintenant essayer de contacter l’équipe de support de Microsoft Defender et partagerons leurs commentaires si/quand nous en recevrons.

2 « J'aime »
8

Comme promis, voici les commentaires actuels du support Microsoft :

  • Marquer les fichiers comme propres dans Microsoft Defender pour le cloud afin de résoudre l’alerte → nous l’avons fait, mais nous ne considérons pas que cela contribue à la résolution du problème, car chaque fois, un fichier différent est signalé à tort.
  • Supprimer l’alerte entière dans Microsoft Defender pour le cloud → nous ne voulions pas faire cela afin de ne pas manquer d’éventuelles menaces réelles à l’avenir.
  • Soumettre une idée pour l’amélioration de l’algorithme d’analyse de Defender et/ou de la base de données interne → nous l’avons fait, en attendant un retour : Community
2 « J'aime »