اسم حزم npm والإصدار المبلغ عنها في الثغرة الأمنية

مرحباً،

لقد تلقيت تقريراً من ماسح XRay في JFrog يفيد بأن الصورة الأساسية لإصدار Discourse 2.0.20240904-0335 تحتوي على تعليمات برمجية ضارة في ثلاث حزم:

• dialog-holder:1.0.0
• float-kit:1.0.0
• custom-proxy:1.0.0

ثم أجريت بعض البحث ووجدت أيضاً الحزم الثلاث بنفس الاسم والإصدار المبلغ عنها على https://vulert.com

(سأضيف هذا في التعليق لأنني لا أستطيع نشر أكثر من رابطين في المنشور)

هل واجهت نفس المشكلات من قبل؟ هل هذه النتائج من Discourse أو حزم أخرى حيث لا يمكنني العثور على أي حزم مبلغ عنها على npm.js؟

شكراً جزيلاً

dialog-holder:1.0.0: شفرة خبيثة في dialog-holder (npm) (vulert.com) ومرتبطة بـ بيانات من OSV على github

float-kit:1.0.0: تعليمات برمجية خبيثة في float-kit (npm) (vulert.com) ومرتبط بـ بيانات من OSV على github

custom-proxy:1.0.0: رمز خبيث في custom-proxy (npm) (vulert.com) ومرتبط بـ بيانات من OSV على github

لقد رأينا شيئًا مشابهًا مع JFrog. يبدو أن هذا اسم غامض لحزمة غير محددة النطاق وليس مشكلة فعلية.

يحتوي Discourse على حزمة في مستودعه تسمى float-kit ولكن هذا لا علاقة له بـ float-kit على npmjs. الآخرون هم نفس الشيء تقريبًا.

من الناحية المثالية، حتى هذه الحزم المحلية يجب أن تكون محددة النطاق، ولكنها مشار إليها من مساحة العمل لذا فإن 1.0.0 التي تسحبها هي من مستودعها الخاص.

لا يوجد دفع مصدر رأيته وJFrog ينظر فقط إلى الأسماء والإصدارات في كثير من الحالات لذلك يجب أن تندرج ضمن عملية معالجة النتائج الإيجابية الخاطئة لديك مع التحكم.