Nombre y versión de paquetes npm reportados en vulnerabilidad

Soporte
1

Hola,

Recibí un informe del escáner XRay en JFrog que indica que la imagen base de Discourse versión 2.0.20240904-0335 contiene código malicioso en tres paquetes:

  • dialog-holder:1.0.0
  • float-kit:1.0.0
  • custom-proxy:1.0.0

Luego investigué un poco y encontré los tres paquetes con el mismo nombre y versión reportados en https://vulert.com

(Añadiré esto en el comentario ya que no puedo publicar más de 2 enlaces en la publicación)

¿Han enfrentado problemas similares antes? ¿Son estos hallazgos de Discourse u otros paquetes, ya que no puedo encontrar ningún paquete reportado en npm.js?

Muchas gracias :folded_hands:

2

dialog-holder:1.0.0: Código malicioso en dialog-holder (npm) (vulert.com) y vinculado a datos de OSV en github

3

float-kit:1.0.0: Código malicioso en float-kit (npm) (vulert.com) y enlazado a datos de OSV en github

4

custom-proxy:1.0.0: Código malicioso en custom-proxy (npm) (vulert.com) y vinculado a datos de OSV en github

5

Hemos visto algo similar con JFrog. Esto parece ser un nombre ambiguo para un paquete sin ámbito y no un problema real.

Discourse tiene un paquete en su repositorio llamado float-kit, pero eso no tiene nada que ver con el float-kit en npmjs. Los otros son básicamente lo mismo.

Idealmente, incluso estos paquetes locales tendrían ámbito, pero se hace referencia a ellos desde el espacio de trabajo, por lo que el 1.0.0 que está extrayendo proviene de su propio repositorio.

No hay ningún impulso de procedencia que haya visto y JFrog solo mira los nombres y las versiones en muchos casos, por lo que debería caer en su proceso de manejo de falsos positivos con el control.

6