Минобороны США использует Node.js-пакет, который пишет россиянин

Минобороны США использует Node.js-пакет, который пишет россиянин

Минобороны США использует Node.js-пакет, который пишет россиянин

Американская компания Hunted Labs подняла тревогу: один из самых популярных Node.js-пакетов — fast-glob — фактически держится на одном человеке. При этом библиотека используется тысячами проектов по всему миру, включая более 30 систем Минобороны США.

Речь идёт об утилите для поиска файлов по шаблонам. Её автор — разработчик под ником mrmlnc. GitHub-аккаунт и личный сайт связывают его с Яндексом: по данным Hunted Labs, это Денис Малиночкин, живущий в Подмосковье.

С точки зрения безопасности ситуация вызывает вопросы: пакет скачивают более 79 миллионов раз в неделю, он встроен в Node.js-контейнеры и тысячи публичных и частных проектов.

Хотя у fast-glob нет зарегистрированных уязвимостей, библиотека имеет доступ к файловым системам, а значит, теоретически может использоваться для кибератак.

Hunted Labs подчёркивает: сам факт того, что у проекта нет внешнего контроля и дополнительных мейнтейнеров, делает его потенциальной мишенью для злоупотреблений.

«Не каждый кусок кода, написанный россиянином, подозрителен сам по себе. Но такие популярные пакеты без надзора — удобная цель для злоумышленников или государственных структур», — отметил сооснователь Hunted Labs Хейден Смит.

После публикации отчёта сам Малиночкин связался с журналистами. Он подтвердил, что действительно является единственным разработчиком fast-glob, но отверг любые предположения о «скрытых» функциях:

«Никто никогда не просил меня манипулировать проектом, встраивать скрытые изменения или собирать системные данные. Я считаю, что open source строится на доверии и разнообразии», — заявил разработчик изданию The Register он.

В Пентагоне пока не прокомментировали, будут ли отказываться от использования fast-glob.

Эксперты же сходятся в одном: сообществу open source нужно внимательнее следить за тем, кто и как поддерживает критичные проекты. Ведь как выразились в Hunted Labs, «открытому ПО не нужен CVE, чтобы быть опасным. Достаточно доступа, незаметности и беспечности».

Telegram внезапно попросил Premium за цитаты — но, похоже, это баг

В Telegram у части пользователей появилась странная плашка: при попытке оформить цитату мессенджер предлагает оформить подписку Premium. Формально платными в Telegram действительно могут быть некоторые возможности расширенного форматирования и Markdown.

На проблему обратил внимание телеграм-канал «Код Дурова». Но обычные цитаты к премиальным функциям относиться не должны.

Поэтому новая плашка выглядит не как очередная монетизация всего живого, а скорее как техническая ошибка.

 

 

Тем более ограничение уже удалось обойти. Достаточно нажать «Сбросить и отправить» — Send Without Formatting. После этого предупреждение исчезает, а сама цитата в сообщении остаётся.

То есть Telegram пока как будто говорит: «Хотите цитату — платите». Но если нажать соседнюю кнопку, выясняется, что платить всё-таки не обязательно.

Вероятнее всего, речь идёт о баге интерфейса или проверки форматирования, который исправят в одном из следующих обновлений. Официальных пояснений от Telegram на момент публикации нет.

Пока же пользователям доступен простой обходной путь: сбросить форматирование перед отправкой и сохранить цитату без Premium. Монетизация не удалась, по крайней мере, в этот раз.

RSS: Новости на портале Anti-Malware.ru