Минобороны США использует Node.js-пакет, который пишет россиянин

Екатерина Быстрова 28 Августа 2025 - 09:15

...

Минобороны США использует Node.js-пакет, который пишет россиянин

Американская компания Hunted Labs подняла тревогу: один из самых популярных Node.js-пакетов — fast-glob — фактически держится на одном человеке. При этом библиотека используется тысячами проектов по всему миру, включая более 30 систем Минобороны США.

Речь идёт об утилите для поиска файлов по шаблонам. Её автор — разработчик под ником mrmlnc. GitHub-аккаунт и личный сайт связывают его с Яндексом: по данным Hunted Labs, это Денис Малиночкин, живущий в Подмосковье.

С точки зрения безопасности ситуация вызывает вопросы: пакет скачивают более 79 миллионов раз в неделю, он встроен в Node.js-контейнеры и тысячи публичных и частных проектов.

Хотя у fast-glob нет зарегистрированных уязвимостей, библиотека имеет доступ к файловым системам, а значит, теоретически может использоваться для кибератак.

Hunted Labs подчёркивает: сам факт того, что у проекта нет внешнего контроля и дополнительных мейнтейнеров, делает его потенциальной мишенью для злоупотреблений.

«Не каждый кусок кода, написанный россиянином, подозрителен сам по себе. Но такие популярные пакеты без надзора — удобная цель для злоумышленников или государственных структур», — отметил сооснователь Hunted Labs Хейден Смит.

После публикации отчёта сам Малиночкин связался с журналистами. Он подтвердил, что действительно является единственным разработчиком fast-glob, но отверг любые предположения о «скрытых» функциях:

«Никто никогда не просил меня манипулировать проектом, встраивать скрытые изменения или собирать системные данные. Я считаю, что open source строится на доверии и разнообразии», — заявил разработчик изданию The Register он.

В Пентагоне пока не прокомментировали, будут ли отказываться от использования fast-glob.

Эксперты же сходятся в одном: сообществу open source нужно внимательнее следить за тем, кто и как поддерживает критичные проекты. Ведь как выразились в Hunted Labs, «открытому ПО не нужен CVE, чтобы быть опасным. Достаточно доступа, незаметности и беспечности».

Следующая главная новость »

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!

Екатерина Быстрова 18 Мая 2026 - 12:24

Соответствие законодательству РФ Домашние пользователи Государство

В России предложили закрыть соцсети для детей младше 14 лет

В России снова заговорили о возрастном цензе для соцсетей. Член комиссии Общественной палаты РФ Евгений Машаров предложил запретить доступ к ним детям младше 14 лет. Логика понятная: соцсети давно стали не только местом для мемов и переписок, но и охотничьими угодьями для мошенников.

Машаров заявил «РИА Новости», что разумные ограничения нужны, а в ряде стран похожие меры уже применяются или обсуждаются.

Ранее он предлагал планку в 16 лет, но теперь считает, что с учётом уже принятых мер можно говорить о возрасте 14 лет. Его прошлую инициативу о доступе к соцсетям только с 16 лет СМИ публиковали в декабре 2025 года.

Главный аргумент — защита детей от интернет-мошенничества. Правда, сам Машаров признаёт: стопроцентной брони не получится. Подростки, как обычно, могут включить VPN.

Россия в этом вопросе не одинока. В Австралии с 10 декабря 2025 года вступил в силу запрет на использование соцсетей детьми младше 16 лет: платформы должны ограничивать создание и ведение аккаунтов несовершеннолетними.

Похожие идеи обсуждаются и в других странах. Вопрос, как всегда, не только в благих намерениях, но и в исполнении. Запретить детям соцсети на бумаге легко.

А вот понять, кто будет проверять возраст, как не превратить это в массовую идентификацию всех пользователей и что делать с обходом ограничений, — уже задачка посложнее.

Пока инициатива без внятного механизма легко превращается в большую бюрократическую игру.

Защита мобильных приложений: где бизнес теряет данные?
Регистрируйтесь на эфир!