Nome e versione dei pacchetti Npm segnalati come vulnerabili

Supporto
1

Ciao,

Ho ricevuto un report dallo scanner XRay di JFrog secondo cui l’immagine di base della versione 2.0.20240904-0335 di Discourse contiene codice dannoso in tre pacchetti:

  • dialog-holder:1.0.0
  • float-kit:1.0.0
  • custom-proxy:1.0.0

Ho fatto qualche ricerca e ho trovato i tre pacchetti con lo stesso nome e versione segnalati su https://vulert.com

(Aggiungerò questo nei commenti poiché non posso pubblicare più di 2 link nel post)

Avete già riscontrato problemi simili? Si tratta di riscontri di Discourse o di altri pacchetti, dato che non riesco a trovare pacchetti segnalati su npm.js?

Molte grazie :folded_hands:

2

dialog-holder:1.0.0: Codice dannoso in dialog-holder (npm) (vulert.com) e collegato a dati da OSV su github

3

float-kit:1.0.0: Codice dannoso in float-kit (npm) (vulert.com) e collegato a dati da OSV su github

4

custom-proxy:1.0.0: Codice dannoso in custom-proxy (npm) (vulert.com) e collegato a dati da OSV su github

5

Abbiamo visto qualcosa di simile con JFrog. Questo sembra essere un nome ambiguo per un pacchetto non sottoposto a scope e non un problema reale.

Discourse ha un pacchetto nel suo repository chiamato float-kit ma questo non ha nulla a che fare con il float-kit su npmjs. Gli altri sono fondamentalmente uguali.

Idealmente, anche questi pacchetti locali sarebbero sottoposti a scope, ma sono referenziati dal workspace, quindi l’1.0.0 che sta scaricando proviene dal proprio repository.

Non c’è alcuna “provenance push” che abbia visto e JFrog esamina solo nomi e versioni in molti casi, quindi dovrebbe rientrare nel tuo processo di gestione dei falsi positivi con il controllo.

6