79 миллионов загрузок в неделю от одного российского разработчика. Cотрудник «Яндекса» стал невольным поставщиком ПО для Минобороны США

Node.js библиотека open source безопасность разработчик проекты Пентагон
79 миллионов загрузок в неделю от одного российского разработчика. Cотрудник «Яндекса» стал невольным поставщиком ПО для Минобороны США
Node.js библиотека open source безопасность разработчик проекты Пентагон

Пентагон доверил критическую инфраструктуру программисту из России.

image

Библиотека fast-glob, используемая в тысячах публичных проектов на Node.js и более чем в тридцати системах Министерства обороны США, оказалась проектом одного единственного разработчика. Его онлайн-профили указывают , что это российский программист Денис Малиночкин, сотрудник «Яндекса».

Сообщение об этом опубликовала американская компания Hunted Labs. Fast-glob — это утилита для поиска файлов и папок по заданным шаблонам. Её автор на GitHub использует никнейм mrmlnc, а связанные с ним профили и сайт подтверждают личность разработчика. Hunted Labs подчёркивает, что никаких связей Малиночкина с хакерскими группировками не выявлено.

По данным Hunted Labs, fast-glob загружают более 79 миллионов раз в неделю, и она используется более чем в пяти тысячах публичных проектов, а также в образах контейнеров Node.js. С учётом закрытых систем число зависимых решений может быть гораздо выше.

Хотя у fast-glob нет зарегистрированных уязвимостей (CVE), эксперты подчёркивают, что библиотека имеет широкий доступ к файловым системам, что в теории делает её привлекательной целью для атак. Потенциальные угрозы включают кражу данных, атаки типа DoS или внедрение вредоносного кода.

Основатель Hunted Labs Хейден Смит заявил, что популярные проекты без внешнего контроля могут стать удобной точкой входа для злоумышленников. По его словам, сообществу с открытым исходным кодом стоит уделять больше внимания вопросам доверия и независимой проверки.

Сам Малиночкин после выхода публикации подтвердил , что он является единственным автором fast-glob и развивает проект уже более семи лет:

«Fast-glob — это популярное решение для поиска файлов в файловой системе по шаблонам. С 2016 года я разрабатываю и поддерживаю его в одиночку. Проект был создан до моей работы в “Яндексе” и никогда не был связан с моими профессиональными обязанностями. Я выпустил его с открытым исходным кодом, считая, что он может быть полезен разработчикам, и рад, что так и получилось».

Разработчик отдельно подчеркнул, что fast-glob работает исключительно локально и не содержит сетевых функций:

«Утилита полностью контролируется пользователем: шаблоны поиска задаются им самим, а выполнение можно проверить, изучив исходный код на GitHub или в менеджере пакетов. Никто никогда не просил меня встроить скрытые возможности, собирать данные или изменять проект. Я убеждён, что open source строится на доверии и разнообразии».

Hunted Labs в заключении отметила, что самым простым способом снизить риски было бы добавить к проекту дополнительных сопровождающих и обеспечить независимый контроль. В противном случае пользователям придётся искать замену fast-glob.