По информации иностранных СМИ (The Register, Hunted Labs), в информационных системах Министерства обороны США активно используется открытая утилита fast‑glob от разработчика из РФ Дениса Малиночкина (mrmlnc), который работает в «Яндексе».
fast-glob — это очень быстрая и эффективная библиотека для Node.js, которая разрабатывается с 2016 года. Она широко используется в тысячах проектов, включая более 30 систем Министерства обороны США.
По информации профильных источников, нет никаких доказательств вредоносной активности в этом проекте. Но эксперты по кибербезопасности предупреждают, что отсутствие контроля за столь критически важными проектами с открытым исходным кодом делает их уязвимыми для потенциального использования со стороны государственных структур.
Исследователи из американской компании Hunted Labs, специализирующейся на кибербезопасности, провели расследование по поводу автора утилиты fast-glob, которая используется для поиска файлов и папок, соответствующих определённым шаблонам. Её мейнтейнер работает под ником mrmlnc, а профиль на Github, связанный с этим ником, указывает на её владельца как разработчика «Яндекса» по имени Денис Малиночкин, проживающего в пригороде Москвы. Как отметила Hunted Labs, связанный с этим ником веб‑сайт также указывает на то же лицо, что и владелец.
В Hunted Labs не общались с Малиночкиным до публикации своего отчёта и не обнаружили никаких связей между ним и кем-либо ещё. По данным Hunted Labs, fast-glob загружается более 79 миллионов раз в неделю и в настоящее время используется более чем в 5 тыс. публичных проектов, помимо систем Министерства обороны США и образов контейнеров Node.js, куда она включена. И это не говоря уже о частных проектах, которые могут его использовать, а это означает, что фактическое число проектов, работающих с этой утилитой, может быть гораздо больше.
Эксперты пояснили, что у fast‑glob нет известных уязвимостей. По их мнению, утилита имеет глубокий доступ к системам, которые его используют, что потенциально предоставляет ряд векторов атак для эксплуатации. По мнению исследователей, в худшем случае при изменении кода проекта fast‑glob может напрямую атаковать файловые системы для раскрытия и кражи информации, проводить DoS‑атаку или атаку методом glob‑injection, включать аварийный выключатель для предотвращения корректной работы программного обеспечения или внедрять дополнительное вредоносное ПО.
Соучредитель Hunted Labs Хейден Смит заявил, что подобные проекты вызывают беспокойство. «Каждый фрагмент кода в таких проектах не обязательно попадает под подозрение, но популярные пакеты, не находящиеся под внешним контролем, легко могут быть скомпрометированы. В целом, сообщество разработчиков ПО с открытым исходным кодом должно уделять больше внимания этому риску и минимизировать его», — заявил Смит.
В Hunted Labs заявили, что самым простым решением для тысяч проектов, использующих fast‑glob, было бы для Малиночкина привлечь дополнительных сопровождающих и усилить надзор за проектом, поскольку единственным другим вариантом было бы предоставить всем, кто использует его, возможность найти подходящую замену. «Программному обеспечению с открытым исходным кодом не обязательно иметь уязвимости, чтобы быть опасным», — заявили в Hunted Labs. «Ему нужны лишь доступ, неизвестность и самоуспокоенность» — то, что, как мы уже отмечали ранее, является постоянной проблемой для проектов с открытым исходным кодом. Это служит ещё одним веским напоминанием о том, что знать, кто пишет ваш код, так же важно, как и понимать, что этот код делает», — заключили в Hunted Labs.
Ответ Малиночкина на исследование и подозрения Hunted Labs:
«Проект fast‑glob — популярное решение для поиска файлов по шаблонам в файловой системе. Более 7 лет (с 2016 года) я разрабатываю и поддерживаю этот проект самостоятельно. Проект был начат до моего начала работы в «Яндексе», и его разработка или поддержка никогда не входили в мои профессиональные обязанности в компании. Я выпустил этот проект с открытым исходным кодом ещё в 2016 году, полагая, что он может быть полезен разработчикам, и рад, что так получилось.
Основная цель моего решения — быстрый поиск путей в файловой системе на основе заданных пользователем шаблонов. Благодаря своей производительности оно стало популярным по сравнению с другими альтернативами. Его можно считать аналогом системной утилиты ls для платформы Node.js. Решение работает полностью локально, не имеет сетевых возможностей и не порождает дополнительных процессов. Шаблоны поиска задаются пользователем. Выполнение также инициируется и полностью контролируется пользователем. Всё это можно надёжно проверить, просмотрев распределённый код через менеджер пакетов (https://www.npmjs.com/package/fast‑glob?activeTab=code) или на GitHub (https://github.com/mrmlnc/fast‑glob).
Я поддерживаю проект в одиночку, поскольку за эти годы сообщество не выразило потребности в более активном участии. Это типично для решений инфраструктурного уровня, с которыми пользователи не взаимодействуют напрямую. Я всегда открыт для вклада сообщества. Также хотел бы ещё раз подчеркнуть, что как исходный код, так и distributed package полностью открыты и доступны для проверки потенциальными пользователями.
Отвечая на ваш вопрос: никто никогда не просил меня манипулировать fast‑glob, вносить скрытые изменения в проект или собирать и делиться системными данными. Я считаю, что открытый исходный код основан на доверии и разнообразии»,
— заявил автор проекта.
Источник: habr.com