Утилиту fast-glob, которую использует Пентагон и еще более 5000 проектов, разрабатывает единственный россиянин из Yandex

Fast-glob, популярная утилита Node.js для поиска файлов и тек по определенным шаблонам, поддерживается единственным россиянином. Он работает в Yandex, а Yandex сотрудничает с ФСБ.

На это обратили внимание исследователи безопасности из Hunted Labs. Они отмечают, что пакет не имеет известных распространенных уязвимостей и рисков, однако разработка только одним человеком, без надзора со стороны участников, с низкой гигиеной безопасности и глубокой интеграцией в тысячи проектов делает его зависимостью с высоким уровнем риска. Эксперты рекомендуют его немедленное удаление, в частности из продуктов, приобретенных или используемых Министерством обороны США или разведывательным сообществом.

Выпущен в декабре 2016 года, fast-glob активно поддерживался и получил широкое распространение в экосистеме JavaScript. Он используется в более чем 5000 публичных проектах во всем мире и сейчас имеет более 79 миллионов загрузок в неделю. Расследование обнаружило его в более чем 30 контейнерах в утвержденных системах Пентагона.

Создатель и единственный разработчик fast-glob использует никнейм mrmInc и указывает имя Денис Малиночкин в своем профиле на GitHub. В публичном профиле и на собственном веб-сайте Малиночкин утверждает, что работает инженером ПО в Yandex и проживает в Одинцово, западном пригороде Москвы.

«Одиночный разработчик, проживающий в авторитарной стране с мощной службой безопасности и ограниченной защитой прав человека, представляет потенциальную угрозу для безопасности и целостности пакета, особенно такого доступного и популярного, как fast-glob. Кроме того, учитывая сотрудничество с Yandex … разработчик имеет много шансов столкнуться с представителями ФСБ или госбезопасности в своих повседневных обязанностях и может быть