Npm-Paketnamen und -Versionen, die in Sicherheitslücken aufgeführt sind

Hallo,

Ich habe einen Bericht vom XRay-Scanner in JFrog erhalten, dass das Basis-Image der Discourse-Version 2.0.20240904-0335 bösartigen Code in drei Paketen enthält:

• dialog-holder:1.0.0
• float-kit:1.0.0
• custom-proxy:1.0.0

Dann habe ich ein wenig recherchiert und die drei Pakete mit demselben Namen und derselben Version auf https://vulert.com gefunden.

(Ich werde dies im Kommentar hinzufügen, da ich nicht mehr als 2 Links im Beitrag posten kann)

Sind Ihnen dieselben Probleme schon einmal begegnet? Handelt es sich um Funde von Discourse oder anderen Paketen, da ich keine gemeldeten Pakete auf npm.js finden kann?

Vielen Dank

dialog-holder:1.0.0: Bösartiger Code in dialog-holder (npm) (vulert.com) und verknüpft mit Daten von OSV auf GitHub

float-kit:1.0.0: Böswilliger Code in float-kit (npm) (vulert.com) und verknüpft mit Daten von OSV auf GitHub

custom-proxy:1.0.0: Bösartiger Code in custom-proxy (npm) (vulert.com) und verknüpft mit Daten von OSV auf github

Wir haben etwas Ähnliches mit JFrog gesehen. Dies scheint ein mehrdeutiger Name für ein nicht abgegrenztes Paket zu sein und kein tatsächliches Problem.

Discourse hat zwar ein Paket in seinem Repository namens float-kit, aber das hat nichts mit dem float-kit auf npmjs zu tun. Die anderen sind im Grunde dasselbe.

Idealerweise wären selbst diese lokalen Pakete abgegrenzt, aber sie werden aus dem Arbeitsbereich referenziert, sodass die 1.0.0, die es zieht, aus seinem eigenen Repository stammt.

Es gibt keinen Herkunftsnachweis, den ich gesehen habe, und JFrog schaut in vielen Fällen nur auf Namen und Versionen, sodass dies in Ihren falsch positiven Handhabungsprozess mit der Kontrolle fallen sollte.