Популярная утилита для Node.js под названием fast-glob, применяемая для поиска файлов и папок по заданным шаблонам, разрабатывается и поддерживается лишь одним разработчиком из России. Этот специалист работает в компании Yandex, которая известна сотрудничеством с ФСБ.
Об этом сообщает ProIT
Потенциальные риски для безопасности
На риск использования fast-glob в критически важных системах обратили внимание аналитики из Hunted Labs. Они подчеркивают, что хотя в пакете в настоящее время не выявлено известных уязвимостей, его разработка одним человеком без внешнего аудита и без надлежащих механизмов безопасности создает серьезные риски. Поскольку fast-glob интегрирован в тысячи проектов, включая продукты Министерства обороны США, эксперты призывают к немедленному удалению пакета из таких систем.
С момента запуска в декабре 2016 года fast-glob активно развивается и получил значительное распространение в JavaScript-сообществе. Утилиту используют более 5000 публичных проектов в мире, а количество ее загрузок еженедельно превышает 79 миллионов. Исследователи обнаружили использование fast-glob в более чем 30 контейнерах, которые утверждены в инфраструктуре Пентагона.
Личность и риски монорозработчика
Известно, что единственный автор fast-glob имеет никнейм mrmInc, а в профиле GitHub указывает имя Денис Малиночкин. На публичных страницах и личном сайте он отмечает, что работает инженером-программистом в Yandex и проживает в Одинцово, пригороде Москвы.
“Одинокий разработчик, который живет в авторитарной стране с мощной службой безопасности и ограниченной защитой прав человека, представляет собой потенциальную угрозу для безопасности и целостности пакета, особенно такого доступного и популярного, как fast-glob. Кроме того, учитывая сотрудничество с Yandex … разработчик имеет много шансов столкнуться с представителями ФСБ или госбезопасности в своих повседневных обязанностях и может быть склонен к принудительному сотрудничеству”, — пишет Hunted Labs и перечисляет конкретные случаи сотрудничества компании с Кремлем.
Специалисты не зафиксировали прямой связи разработчика с хакерскими группами или другими злоумышленниками, однако считают, что учетная запись mrmInc может быть скомпрометирована без лишних усилий. Это создает риск для безопасности тысяч проектов, включая правительственные, финансовые, коммерческие и медицинские системы. Массовая компрометация fast-glob потенциально способна нарушить работу критической инфраструктуры.
Среди опасных возможностей, которые может предоставить fast-glob в случае злоупотреблений, исследователи называют несанкционированный доступ к конфиденциальным файлам и переменным окружения, кражу SSH-ключей, атаки отказа в обслуживании через файловую систему, активацию kill-switch и внедрение вредоносного кода. Hunted Labs подчеркивает, что в настоящее время не существует простого решения для замены fast-glob, а для снижения рисков рекомендует привлечь дополнительных разработчиков, провести аудит и обеспечить внешний контроль. Также подчеркивается, что открытые программные решения могут нести потенциальную угрозу, если их поддерживает ограниченное число лиц.