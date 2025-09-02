banner
Новини Технології 02.09.2025 comment views icon

Утиліту fast-glob, яку використовує Пентагон та ще понад 5000 проєктів, розробляє єдиний росіянин з Yandex

author avatar

Андрій Русанов

Редактор новин

Утиліту fast-glob, яку використовує Пентагон та ще понад 5000 проєктів, розробляє єдиний росіянин з Yandex
Depositphotos

Fast-glob, популярна утиліта Node.js для пошуку файлів та тек за певними шаблонами, підтримується єдиним росіянином. Він працює в Yandex, а Yandex співпрацює з ФСБ.

На це звернули увагу дослідники безпеки з Hunted Labs. Вони зазначають, що пакет не має відомих поширених вразливостей та ризиків, однак розробка лише однією людиною, без нагляду з боку учасників, з низькою гігієною безпеки та глибокою інтеграцією в тисячі проєктів робить його залежністю з високим рівнем ризику. Експерти рекомендують його негайне видалення, зокрема з продуктів, що придбані або використовуються Міністерством оборони США або розвідувальною спільнотою.

Випущений у грудні 2016 року, fast-glob активно підтримувався та отримав широке поширення в екосистемі JavaScript. Він використовується у понад 5000 публічних проєктах у всьому світі і наразі має понад 79 мільйонів завантажень на тиждень. Розслідування виявило його у понад 30 контейнерах у затверджених системах Пентагона.

Творець і єдиний розробник fast-glob використовує нікнейм mrmInc та вказує ім’я Денис Маліночкін у своєму профілі на GitHub. У публічному профілі та на власному вебсайті Маліночкін стверджує, що працює інженером ПЗ в Yandex та проживає в одінцово, західному передмісті москви.

“Поодинокий розробник, котрий мешкає в авторитарній країні з потужною службою безпеки та обмеженим захистом прав людини, становить потенційну загрозу для безпеки й цілісності пакета, особливо такого доступного та популярного, як fast-glob. Крім того, враховуючи співпрацю з Yandex … розробник має багато шансів зіткнутися з представниками ФСБ або держбезпеки у своїх повсякденних обов’язках і може бути схилений до примусової співпраці”, — пише Hunted Labs, та перераховує конкретні випадки співпраці компанії з кремлем.

Дослідники не встановили зв’язків mnmInc з жодними зловмисниками, але вважають, що “профіль може бути скомпрометований майже без зусиль”. Це може дозволити росії отримати негайний доступ до тисяч відомих проєктів, зокрема таємних або приватних. Компрометація такого масштабу може порушити критичну інфраструктуру в урядовій, комерційній, медичній та фінансовій системах, не кажучи про безліч інших життєво важливих напрямків.

Gmail під загрозою: російські хакери обходять багатофакторну аутентифікацію, Україну теж згадали

Спільнота перераховує потенційні небезпечні можливості програми. Серед них несанкціонований доступ до конфіденційних файлів, змінних середовищ та ключів SSH, атаки відмови в обслуговуванні через використання файлової системи, атаки kill-switch, впровадження шкідливого ПЗ тощо. Hunted Labs зазначає, що немає швидкого та простого рішення для заміни fast-glob. Дослідники рекомендують автору залучити до проєкту додаткових розробників та нагляд, щоб уникнути ризику. Також вони вказують на відкрите ПЗ загалом, як потенційний вектор загрози у подібних випадках.

Популярні новини

arrow left
arrow right
Пілот F-35 ВПС США майже годину марно розмовляв з техпідтримкою Lockheed — літак розбився
«Дрібне» хуліганство на $200 000: айтівець отримав 7 місяців тюрми за помсту роботодавцю
GitHub випадково презентував GPT-5 за день до офіційного анонсу — відомо про 4 різні версії "найпотужнішого" ШІ OpenAI
У Steam-грі Chemia виявили шкідливе ПЗ, що крало криптовалюту та дані користувачів
Стартап відкрито продає конфіденційні дані громадян за $50
Один слабкий пароль знищив компанію із 158-річною історією та лишив без роботи 700 людей
Північнокорейські хакери Lazarus знищили британську криптоплатформу Lykke
Хакер вбудував в ШІ Amazon Q для кодування "бомбу" видалення даних — але зараз вона безпечна
Російські хакери дистанційно відкрили шлюзи в Норвегії: 7,2 тис. м³ води вирвалися з дамби
Виробника побутової хімії Clorox зламали одним дзвінком — техпідтримка видала пароль і вимкнула MFA
В ювелірній мережі Pandora стався витік даних — хакери отримали "особисту" інформацію клієнтів
Хакер завантажив дані усіх 270 тис. працівників Intel завдяки простій вразливості входу на сайти
«Аерофлот» під кіберударом: хакери викрали понад 20 ТБ даних та знищили IT-інфраструктуру
Північнокорейські хакери з початку 2025 року вкрали криптовалют на $1,6 млрд
Як «прикро»: блокчейн-розробник з росії втратив криптовалют на $500 тис. через підроблене розширення для Cursor
Тіктокерка зі США створила «ферму ноутбуків» для хакерів КНДР — тепер проведе 8 років за ґратами
Північнокорейські хакери щоденно намагаються влаштуватися на роботу в Binance
Хакери вкрали у криптобіржі BigONE $27 млн
Лише за пів року хакери вкрали криптовалют на понад $3 млрд
Що думаєте про цю статтю?
Голосів:
Файно є
Файно є
Йой, най буде!
Йой, най буде!
Трясця!
Трясця!
Ну такої...
Ну такої...
Бісить, аж тіпає!
Бісить, аж тіпає!
Loading comments...

Повідомити про помилку

Текст, який буде надіслано нашим редакторам:

Надіслати