Министерство обороны США, по сообщениям, использует программу, разработанную российским разработчиком.

Широко используемая утилита Node.js под названием fast-glob, от которой зависят тысячи проектов, включая более 30 систем Министерства обороны США, поддерживается единственным разработчиком из России, связанным с компанией Yandex. Хотя никаких свидетельств вредоносной активности нет, эксперты по кибербезопасности предупреждают, что отсутствие контроля над такими критически важными проектами с открытым исходным кодом делает их уязвимыми для потенциальной эксплуатации со стороны государственных или поддерживаемых государством субъектов.

По данным Hunted Labs, утилита fast-glob используется для поиска файлов и папок, соответствующих определенным шаблонам. Ее сопровождающий известен под ником "mrmlnc", а профиль Github, связанный с этим ником, идентифицирует его владельца как Дениса Малиночкина (Denis Malinochkin), разработчика Yandex, проживающего в пригороде Москвы. Сайт, связанный с этим ником, также идентифицирует его владельца как того же человека.

Hunted Labs сообщила, что не общалась с Малиночкиным перед публикацией своего отчета и не обнаружила связей между ним и каким-либо злоумышленником. По данным Hunted Labs, fast-glob скачивается более 79 миллионов раз в неделю и в настоящее время используется более чем в 5000 общедоступных проектов, помимо систем Министерства обороны США и контейнерных образов Node.js, которые включают его. Это не говоря уже о частных проектах, которые могут его использовать, что означает, что количество проектов, находящихся под угрозой, может быть гораздо больше.

Хотя fast-glob не имеет известных уязвимостей (CVE), утилита имеет глубокий доступ к системам, которые ее используют, что потенциально дает России ряд векторов атак для эксплуатации. Fast-glob может напрямую атаковать файловые системы для раскрытия и кражи информации, запускать DoS или атаки с использованием glob-injection, включать "kill switch" для прекращения работы зависимого программного обеспечения или внедрять дополнительное вредоносное ПО, список, который, по словам Hunted Labs, далеко не исчерпывающий.

Haden Smith, соучредитель Hunted Labs, отметил, что эта связь вызывает опасения. "Не каждый фрагмент кода, написанный россиянами, автоматически вызывает подозрения, но популярные пакеты без внешнего контроля являются легкой добычей для государственных или поддерживаемых государством субъектов, стремящихся продвинуть свои цели", – сообщил Smith. "В целом, сообщество разработчиков программного обеспечения с открытым исходным кодом должно уделять больше внимания этому риску и смягчать его последствия."

Hunted Labs заявила, что самое простое решение для тысяч проектов, использующих fast-glob, – это добавление Малиночкиным дополнительных сопровождающих и усиление контроля над проектом, в качестве альтернативы – поиск подходящей замены для тех, кто его использует. "Программное обеспечение с открытым исходным кодом не нуждается в CVE, чтобы быть опасным, ему нужен только доступ, неясность и беспечность", – отметила Hunted Labs, подчеркнув, что это постоянная проблема для проектов с открытым исходным кодом. "Это еще одно мощное напоминание о том, что знание того, кто пишет ваш код, так же важно, как и понимание того, что делает этот код", – заключила Hunted Labs.