Пентагон успешно реализовал программу аутсорсинга. В Подмосковье.
Исследование Hunted Labs
Американская компания в области информационной безопасности Hunted Labs провела исследование и обнаружила интересный факт: популярная Node.js-утилита fast-glob поддерживается всего одним человеком. Разработчик — Денис Малиночкин, инженер «Яндекса» из Одинцово, Подмосковье.
Популярность fast-glob
Fast-glob появилась в декабре 2016 года и стала стандартным инструментом в JavaScript-экосистеме для работы с файловыми путями и шаблонами. Сегодня её скачивают более 79 миллионов раз в неделю, а число публичных проектов, где она используется, превышает 5 000. Среди них — такие инструменты, как Prettier, а также множество утилит для сборки и анализа кода.
Использование в системах Пентагона
Исследователи выяснили, что fast-glob используется как минимум в 30 проектах Министерства обороны США (DoD). Более того, библиотека включена в Iron Bank — доверенный репозиторий программного обеспечения, применяемый в военных системах США для обеспечения кибербезопасности и стандартизации.
Нет уязвимостей, но есть риски
По данным Hunted Labs, у fast-glob нет зарегистрированных уязвимостей (CVE), а к самому разработчику претензий нет. Однако проблема заключается в модели угроз: пакет с глубоким доступом к файловой системе, находящийся в критической инфраструктуре США, поддерживается одним человеком без независимого контроля и внешнего надзора.
Политический контекст
Обнаруженное особенно примечательно на фоне недавнего меморандума министра обороны США Пита Хегсета от 18 июля 2025 года, который запрещает закупку ПО, подверженного иностранному влиянию. Несмотря на это, fast-glob остаётся частью систем DoD, что ставит под сомнение эффективность новых правил.
Потенциальные угрозы
Хотя сам пакет безопасен, эксперты предупреждают: отсутствие независимой поддержки повышает риск. В случае компрометации разработчика или репозитория возможны:
* доступ к файловой системе,
* внедрение вредоносного кода,
* кража данных,
* создание «kill switch» для отключения систем,
* атаки типа DoS.
Рекомендации Hunted Labs
По мнению исследователей, проблему можно решить относительно просто: расширить число сопровождающих проекта, внедрить механизмы аудита и внешнего контроля. В противном случае сотням проектов и организациям придётся искать замену fast-glob.
> По мнению исследователей, проблему можно решить относительно просто: расширить число сопровождающих проекта, внедрить механизмы аудита и внешнего контроля. В противном случае сотням проектов и организациям придётся искать замену fast-glob.
То есть отобрать проекту у человека, выкинуть его из всех сносок и включений и послать его нахер.
Сейчас, сейчас
Исследование Hunted Labs
Американская компания в области информационной безопасности Hunted Labs провела исследование и обнаружила интересный факт: популярная Node.js-утилита fast-glob поддерживается всего одним человеком. Разработчик — Денис Малиночкин, инженер «Яндекса» из Одинцово, Подмосковье.
Популярность fast-glob
Fast-glob появилась в декабре 2016 года и стала стандартным инструментом в JavaScript-экосистеме для работы с файловыми путями и шаблонами. Сегодня её скачивают более 79 миллионов раз в неделю, а число публичных проектов, где она используется, превышает 5 000. Среди них — такие инструменты, как Prettier, а также множество утилит для сборки и анализа кода.
Использование в системах Пентагона
Исследователи выяснили, что fast-glob используется как минимум в 30 проектах Министерства обороны США (DoD). Более того, библиотека включена в Iron Bank — доверенный репозиторий программного обеспечения, применяемый в военных системах США для обеспечения кибербезопасности и стандартизации.
Нет уязвимостей, но есть риски
По данным Hunted Labs, у fast-glob нет зарегистрированных уязвимостей (CVE), а к самому разработчику претензий нет. Однако проблема заключается в модели угроз: пакет с глубоким доступом к файловой системе, находящийся в критической инфраструктуре США, поддерживается одним человеком без независимого контроля и внешнего надзора.
Политический контекст
Обнаруженное особенно примечательно на фоне недавнего меморандума министра обороны США Пита Хегсета от 18 июля 2025 года, который запрещает закупку ПО, подверженного иностранному влиянию. Несмотря на это, fast-glob остаётся частью систем DoD, что ставит под сомнение эффективность новых правил.
Потенциальные угрозы
Хотя сам пакет безопасен, эксперты предупреждают: отсутствие независимой поддержки повышает риск. В случае компрометации разработчика или репозитория возможны:
* доступ к файловой системе,
* внедрение вредоносного кода,
* кража данных,
* создание «kill switch» для отключения систем,
* атаки типа DoS.
Рекомендации Hunted Labs
По мнению исследователей, проблему можно решить относительно просто: расширить число сопровождающих проекта, внедрить механизмы аудита и внешнего контроля. В противном случае сотням проектов и организациям придётся искать замену fast-glob.