Aggiornamenti Discourse - Microsoft Defender segnala il rilevamento del malware Wacatac

Ciao,

Abbiamo un’istanza self-hosted di Discourse su una macchina virtuale e dopo aver applicato gli aggiornamenti più recenti di Discourse v3.4.0.beta3 +431 abbiamo ricevuto un avviso da Microsoft Defender riguardo al malware Wacatac:

image1625×1245 210 KB

Abbiamo rimosso il file, riavviato la macchina virtuale e ora stiamo aspettando che venga eseguita un’altra scansione. Questo è già successo nel dicembre 2024, quando stavamo scaricando gli aggiornamenti più recenti di Discourse.
Sembra che Wacatac stia arrivando in qualche modo tramite gli aggiornamenti di Discourse o potrebbe anche essere un falso positivo…

Qualcun altro sta riscontrando questo problema?

Puoi comunicarci il percorso completo del file rilevato?

var/lib/docker/overlay2/d5d34d6148be507180106dc3b39b8b3d266b5e221fd5df48ce023df57186d4ef/diff/home/discourse/.local/share/pnpm/store/v3/files

(lo troviamo sempre qui)

.../pnpm/store/v3/files è una directory. Hai anche il nome del file specifico?

/var/lib/docker/overlay2/93cd7bbb9de06047b645e0b7e3fd788546257d0b2d980e21df3cb0c5c802e80f/diff/home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec

E per quello di dicembre 2024:
/var/lib/docker/overlay2/d5d34d6148be507180106dc3b39b8b3d266b5e221fd5df48ce023df57186d4ef/diff/home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec

Grazie per le informazioni aggiuntive!

@mwaniki mi ha aiutato a fare alcuni controlli su questo. Il primo file che hai condiviso è una cache del binario lefthook:

$ md5sum /home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
8bfaa34901d5a7b34090b3a862793f90  /home/discourse/.local/share/pnpm/store/v3/files/1e/a9a94e4c7f5e4b8e407d5bbbec51f6167dd6470f9e9c6b41b3f99facbe9749c0c1a60f6cac13a74d7e09482601470bea436265eccd6091e0767ff9b05e66eb-exec
$ find /var/www/discourse/node_modules/ -type f -exec md5sum {} + | grep '^8bfaa34901d5a7b34090b3a862793f90'
8bfaa34901d5a7b34090b3a862793f90  node_modules/.pnpm/lefthook-linux-x64@1.10.8/node_modules/lefthook-linux-x64/bin/lefthook

Il secondo è esbuild:

$ md5sum /home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
25b47c7a561185d07c8c3d98ade527af  /home/discourse/.local/share/pnpm/store/v3/files/23/f5520e308f56ab79324ef0ea1249acf7aa09f192d1b5e5599b3b284e46f1e6c0d6d58707b63a9c965399930b6148639ef2bd6d1d4d55343448ba42b4535440-exec
$ find node_modules/ -type f -exec md5sum {} + | grep '^25b47c7a561185d07c8c3d98ade527af'
25b47c7a561185d07c8c3d98ade527af  node_modules/.pnpm/@esbuild+linux-x64@0.24.2/node_modules/@esbuild/linux-x64/bin/esbuild
25b47c7a561185d07c8c3d98ade527af  node_modules/.pnpm/esbuild@0.24.2/node_modules/esbuild/bin/esbuild

Questi hash md5 corrispondono alle versioni pubblicate su npm, quindi possiamo essere certi che non siano state manomesse tra il registro e la tua installazione:

$ curl -s https://registry.npmjs.org/@esbuild/linux-x64/-/linux-x64-0.24.2.tgz | tar -Oxzf - package/bin/esbuild | md5sum
25b47c7a561185d07c8c3d98ade527af  -
$ curl -s https://registry.npmjs.org/lefthook-linux-x64/-/lefthook-linux-x64-1.10.8.tgz | tar -Oxzf - package/bin/lefthook | md5sum
8bfaa34901d5a7b34090b3a862793f90  -

Quindi penso che si tratti di un falso positivo da parte di Microsoft Defender. La rimozione di esbuild dalla tua installazione di Discourse causerebbe problemi, quindi te lo sconsiglio.

Cercando online, sembra che Microsoft Defender dia falsi allarmi sui pacchetti npm abbastanza frequentemente. Ecco un esempio di un falso rilevamento di esbuild in passato.

Grazie mille @david e @mwaniki!

Ora proveremo a contattare il team di supporto di Microsoft Defender e condivideremo il loro feedback se/quando ne riceveremo uno.

Come promesso, ecco il feedback attuale del supporto Microsoft:

• Segna i file come puliti in Microsoft Defender for Cloud per risolvere l’allarme → l’abbiamo fatto, ma non lo consideriamo un contributo alla risoluzione del problema poiché ogni volta viene segnalato un file diverso in modo errato
• Sopprimi l’intero allarme in Microsoft Defender for Cloud → non volevamo farlo per non perdere possibili minacce reali in futuro
• Invia un’idea per il miglioramento dell’algoritmo di scansione di Defender e/o del database interno → l’abbiamo fatto, in attesa di feedback: Community