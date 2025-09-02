banner
Новости Технологии 02.09.2025 comment views icon

Утилиту fast-glob, которую использует Пентагон и еще более 5000 проектов, разрабатывает единственный россиянин из Yandex

author avatar

Андрій Русанов

Редактор новостей

Утилиту fast-glob, которую использует Пентагон и еще более 5000 проектов, разрабатывает единственный россиянин из Yandex

Fast-glob, популярная утилита Node.js для поиска файлов и тек по определенным шаблонам, поддерживается единственным россиянином. Он работает в Yandex, а Yandex сотрудничает с ФСБ.

На это обратили внимание исследователи безопасности из Hunted Labs. Они отмечают, что пакет не имеет известных распространенных уязвимостей и рисков, однако разработка только одним человеком, без надзора со стороны участников, с низкой гигиеной безопасности и глубокой интеграцией в тысячи проектов делает его зависимостью с высоким уровнем риска. Эксперты рекомендуют его немедленное удаление, в частности из продуктов, приобретенных или используемых Министерством обороны США или разведывательным сообществом.

Выпущен в декабре 2016 года, fast-glob активно поддерживался и получил широкое распространение в экосистеме JavaScript. Он используется в более чем 5000 публичных проектах во всем мире и сейчас имеет более 79 миллионов загрузок в неделю. Расследование обнаружило его в более чем 30 контейнерах в утвержденных системах Пентагона.

Создатель и единственный разработчик fast-glob использует никнейм mrmInc и указывает имя Денис Малиночкин в своем профиле на GitHub. В публичном профиле и на собственном веб-сайте Малиночкин утверждает, что работает инженером ПО в Yandex и проживает в Одинцово, западном пригороде Москвы.

«Одиночный разработчик, проживающий в авторитарной стране с мощной службой безопасности и ограниченной защитой прав человека, представляет потенциальную угрозу для безопасности и целостности пакета, особенно такого доступного и популярного, как fast-glob. Кроме того, учитывая сотрудничество с Yandex … разработчик имеет много шансов столкнуться с представителями ФСБ или госбезопасности в своих повседневных обязанностях и может быть склонен к принудительному сотрудничеству», — пишет Hunted Labs, и перечисляет конкретные случаи сотрудничества компании с Кремлем.

Исследователи не установили связей mnmInc ни с какими злоумышленниками, но считают, что «профиль может быть скомпрометирован почти без усилий». Это может позволить России получить немедленный доступ к тысячам известных проектов, в том числе тайных или частных. Компрометация такого масштаба может нарушить критическую инфраструктуру в правительственной, коммерческой, медицинской и финансовой системах, не говоря о множестве других жизненно важных направлений.

Сообщество перечисляет потенциальные опасные возможности программы. Среди них несанкционированный доступ к конфиденциальным файлам, переменных сред и ключей SSH, атаки отказа в обслуживании из-за использования файловой системы, атаки kill-switch, внедрение вредоносного ПО и тому подобное. Hunted Labs отмечает, что нет быстрого и простого решения для замены fast-glob. Исследователи рекомендуют автору привлечь к проекту дополнительных разработчиков и надзор, чтобы избежать риска. Также они указывают на открытое ПО в целом, как потенциальный вектор угрозы в подобных случаях.

Популярные новости

arrow left
arrow right
GitHub случайно презентовал GPT-5 за день до официального анонса — известно о 4 разных версиях "самого мощного" ИИ OpenAI
Один слабый пароль уничтожил компанию со 158-летней историей и оставил без работы 700 человек
Северокорейские хакеры ежедневно пытаются устроиться на работу в Binance
Тиктокерша из США создала «ферму ноутбуков» для хакеров КНДР — теперь проведет 8 лет за решеткой
Северокорейские хакеры Lazarus уничтожили британскую криптоплатформу Lykke
Только за полгода хакеры украли криптовалют на более $3 млрд
Пилот F-35 ВВС США почти час впустую разговаривал с техподдержкой Lockheed — самолет разбился
«Мелкое» хулиганство на $200 000: айтишник получил 7 месяцев тюрьмы за месть работодателю
Какая «досада»: блокчейн-разработчик из россии потерял криптовалют на $500 тыс. из-за поддельного расширения для Cursor
В Steam-игре Chemia обнаружили вредоносное ПО, которое крало криптовалюту и данные пользователей
Хакер загрузил данные всех 270 тыс. сотрудников Intel благодаря простой уязвимости входа на сайты
Производителя бытовой химии Clorox взломали одним звонком — техподдержка выдала пароль и отключила MFA
«Аэрофлот» под киберударом: хакеры похитили более 20 ТБ данных и уничтожили IT-инфраструктуру
Хакеры украли у криптобиржи BigONE $27 млн
Стартап открыто продает конфиденциальные данные граждан за $50
Хакер встроил в ИИ Amazon Q для кодирования "бомбу" удаления данных — но сейчас она безопасна
Северокорейские хакеры с начала 2025 года украли криптовалют на $1,6 млрд
В ювелирной сети Pandora произошла утечка данных — хакеры получили "личную" информацию клиентов
Що думаєте про цю статтю?
Голосів:
Файно є
Файно є
Йой, най буде!
Йой, най буде!
Трясця!
Трясця!
Ну такої...
Ну такої...
Бісить, аж тіпає!
Бісить, аж тіпає!
Loading comments...

Сообщить об опечатке

Текст, который будет отправлен нашим редакторам:

Отправить