Depositphotos

Fast-glob, популярна утиліта Node.js для пошуку файлів та тек за певними шаблонами, підтримується єдиним росіянином. Він працює в Yandex, а Yandex співпрацює з ФСБ.

На це звернули увагу дослідники безпеки з Hunted Labs. Вони зазначають, що пакет не має відомих поширених вразливостей та ризиків, однак розробка лише однією людиною, без нагляду з боку учасників, з низькою гігієною безпеки та глибокою інтеграцією в тисячі проєктів робить його залежністю з високим рівнем ризику. Експерти рекомендують його негайне видалення, зокрема з продуктів, що придбані або використовуються Міністерством оборони США або розвідувальною спільнотою.

Випущений у грудні 2016 року, fast-glob активно підтримувався та отримав широке поширення в екосистемі JavaScript. Він використовується у понад 5000 публічних проєктах у всьому світі і наразі має понад 79 мільйонів завантажень на тиждень. Розслідування виявило його у понад 30 контейнерах у затверджених системах Пентагона.

Творець і єдиний розробник fast-glob використовує нікнейм mrmInc та вказує ім’я Денис Маліночкін у своєму профілі на GitHub. У публічному профілі та на власному вебсайті Маліночкін стверджує, що працює інженером ПЗ в Yandex та проживає в одінцово, західному передмісті москви.

“Поодинокий розробник, котрий мешкає в авторитарній країні з потужною службою безпеки та обмеженим захистом прав людини, становить потенційну загрозу для безпеки й цілісності пакета, особливо такого доступного та популярного, як fast-glob. Крім того, враховуючи співпрацю з Yandex … розробник має багато шансів зіткнутися з представниками ФСБ або держбезпеки у своїх повсякденних обов’язках і може бути схилений до примусової співпраці”, — пише Hunted Labs, та перераховує конкретні випадки співпраці компанії з кремлем.

Дослідники не встановили зв’язків mnmInc з жодними зловмисниками, але вважають, що “профіль може бути скомпрометований майже без зусиль”. Це може дозволити росії отримати негайний доступ до тисяч відомих проєктів, зокрема таємних або приватних. Компрометація такого масштабу може порушити критичну інфраструктуру в урядовій, комерційній, медичній та фінансовій системах, не кажучи про безліч інших життєво важливих напрямків.

Спільнота перераховує потенційні небезпечні можливості програми. Серед них несанкціонований доступ до конфіденційних файлів, змінних середовищ та ключів SSH, атаки відмови в обслуговуванні через використання файлової системи, атаки kill-switch, впровадження шкідливого ПЗ тощо. Hunted Labs зазначає, що немає швидкого та простого рішення для заміни fast-glob. Дослідники рекомендують автору залучити до проєкту додаткових розробників та нагляд, щоб уникнути ризику. Також вони вказують на відкрите ПЗ загалом, як потенційний вектор загрози у подібних випадках.