Nome e versão dos pacotes Npm relatados em vulnerabilidade

Suporte
1

Olá,

Recebi um relatório do scanner XRay no JFrog de que a imagem base da versão 2.0.20240904-0335 do Discourse contém código malicioso em três pacotes:

  • dialog-holder:1.0.0
  • float-kit:1.0.0
  • custom-proxy:1.0.0

Em seguida, fiz uma pequena pesquisa e também encontrei os três pacotes com o mesmo nome e versão relatados em https://vulert.com

(Adicionarei isso no comentário, pois não posso postar mais de 2 links na postagem)

Vocês já enfrentaram problemas semelhantes antes? Essas descobertas são do Discourse ou de outros pacotes, pois não consigo encontrar nenhum pacote relatado no npm.js?

Muito obrigado :folded_hands:

2

dialog-holder:1.0.0: Código malicioso em dialog-holder (npm) (vulert.com) e vinculado a dados do OSV no github

3

float-kit:1.0.0: Código malicioso em float-kit (npm) (vulert.com) e vinculado a dados do OSV no github

4

custom-proxy:1.0.0: Código malicioso em custom-proxy (npm) (vulert.com) e vinculado a dados do OSV no github

5

Vimos algo semelhante com o JFrog. Isso parece ser um nome ambíguo para um pacote não escopado e não um problema real.

O Discourse tem um pacote em seu repositório chamado float-kit, mas isso não tem nada a ver com o float-kit no npmjs. Os outros são basicamente o mesmo.

Idealmente, até mesmo esses pacotes locais seriam escopados, mas eles são referenciados a partir do workspace, então o 1.0.0 que ele está puxando é de seu próprio repositório.

Não há push de proveniência que eu tenha visto e o JFrog apenas olha nomes e versões em muitos casos, então isso deve cair em seu processo de tratamento de falsos positivos com o controle.

6