Исследование Hunted Labs выявило зависимость Пентагона от утилиты fast glob, поддерживаемой единственным разработчиком

Пентагон успешно реализовал программу аутсорсинга В Подмосковье Американская ИБ фирма Hunted Labs провела исследование и выяснила что популярнейшая Node js утилита fast glob поддерживается всего одним человеком И судя по его профилям в сети это разработчик из Яндекса по имени Денис Малиночкин проживающий в РФ Казалось бы типичная история для open source Но есть нюанс fast glob скачали десятки миллионов раз она является зависимостью в 5000 публичных проектах а самое забавное что она используется как минимум в 30 проектах Министерства обороны США DoD Более того она включена в Iron Bank а это доверенный репозиторий ПО который Пентагон использует для своих систем Исследователи уточняют что у fast glob нет известных уязвимостей CVE а к самому разработчику нет никаких претензий А проблема в самой модели угроз Популярнейший пакет с глубоким доступом к файловой системе который является частью критической инфраструктуры СЩА поддерживается одним Денисом из подмосковья без какого либо внешнего контроля Ребята из Hunted Labs сообщили о своих находках в Пентагон еще три недели назад Особенно иронично это выглядит на фоне недавней директивы министра обороны США которая запрещает закупать ПО подверженное иностранному влиянию Чувствуете что везде всё одинакого Идеальный пример того как на самом деле устроена современная цепочка поставок ПО Типичный Сисадмин

Один российский программист держит в руках ключевой инструмент Пентагона 29 августа CYBER MEDIA Американская компания Hunted Labs обратила внимание на тревожный факт в основе десятков IT систем Министерства обороны США лежит библиотека написанная единственным разработчиком из России Речь идёт о популярном Node js пакете fast glob который используется для поиска файлов по шаблонам По данным аналитиков библиотеку еженедельно скачивают свыше 79 миллионов раз Она встроена в контейнеры Node js и применяется как в открытых проектах так и в закрытых корпоративных решениях включая более 30 систем Пентагона Особую озабоченность вызывает то что поддержкой fast glob занимается всего один человек под ником mrmlnc которого связывают с подмосковным разработчиком Денисом Малиночкиным Сам пакет не имеет зарегистрированных уязвимостей однако его функционал предполагает прямой доступ к файловым системам Эксперты предупреждают отсутствие внешнего контроля и независимых мейнтейнеров превращает такие проекты в удобную цель для атак или скрытых манипуляций Open source не нуждается в CVE чтобы быть опасным Достаточно доверия и отсутствия проверки говорится в отчёте Hunted Labs Малиночкин уже отреагировал на публикацию заявив что никаких скрытых функций в библиотеку не внедрял и подчеркнул что развитие open source строится на доверии и разнообразии В то же время специалисты по кибербезопасности считают что ситуация показывает хрупкость экосистемы критическая зависимость от одного человека может поставить под угрозу целые отрасли В Пентагоне пока не сообщили планируют ли отказаться от использования fast glob