Fast-glob, популярная утилита Node.js для поиска файлов и тек по определенным шаблонам, поддерживается единственным россиянином. Он работает в Yandex, а Yandex сотрудничает с ФСБ.
На это обратили внимание исследователи безопасности из Hunted Labs. Они отмечают, что пакет не имеет известных распространенных уязвимостей и рисков, однако разработка только одним человеком, без надзора со стороны участников, с низкой гигиеной безопасности и глубокой интеграцией в тысячи проектов делает его зависимостью с высоким уровнем риска. Эксперты рекомендуют его немедленное удаление, в частности из продуктов, приобретенных или используемых Министерством обороны США или разведывательным сообществом.
Выпущен в декабре 2016 года, fast-glob активно поддерживался и получил широкое распространение в экосистеме JavaScript. Он используется в более чем 5000 публичных проектах во всем мире и сейчас имеет более 79 миллионов загрузок в неделю. Расследование обнаружило его в более чем 30 контейнерах в утвержденных системах Пентагона.
Создатель и единственный разработчик fast-glob использует никнейм mrmInc и указывает Денис Малиночкин в своем профиле на GitHub. В публичном профиле и на собственном веб-сайте Малиночкин утверждает, что работает инженером ПО в Yandex и проживает в Одинцово, западном пригороде Москвы.
«Одиночный разработчик, проживающий в авторитарной стране с мощной службой безопасности и ограниченной защитой прав человека, представляет потенциальную угрозу для безопасности и целостности пакета, особенно такого доступного и популярного, как fast-glob. Кроме того, учитывая сотрудничество с Yandex … разработчик имеет много шансов столкнуться с представителями ФСБ или госбезопасности в своих повседневных обязанностях и может быть склонен к принудительному сотрудничеству», — пишет Hunted Labs, и перечисляет конкретные случаи сотрудничества компании с Кремлем.
Исследователи не установили связей mnmInc ни с какими злоумышленниками, но считают, что «профиль может быть скомпрометирован почти без усилий». Это может позволить России получить немедленный доступ к тысячам известных проектов, в том числе тайных или частных. Компрометация такого масштаба может нарушить критическую инфраструктуру в правительственной, коммерческой, медицинской и финансовой системах, не говоря о множестве других жизненно важных направлений.
Сообщество перечисляет потенциальные опасные возможности программы. Среди них несанкционированный доступ к конфиденциальным файлам, переменных сред и ключей SSH, атаки отказа в обслуживании из-за использования файловой системы, атаки kill-switch, внедрение вредоносного ПО и тому подобное. Hunted Labs отмечает, что нет быстрого и простого решения для замены fast-glob. Исследователи рекомендуют автору привлечь к проекту дополнительных разработчиков и надзор, чтобы избежать риска. Также они указывают на открытое ПО в целом, как потенциальный вектор угрозы в подобных случаях.
No Comment! Be the first one.