Node.js-utility van Russische ontwikkelaar ingezet voor beheer diverse projecten van Amerikaanse Defensie
De veelgebruikte Node.js-utility fast-glob, die dient om bestanden en mappen te vinden op basis van specifieke patronen, wordt onder meer ingezet voor het beheren van diverse projecten van het Amerikaanse ministerie van Defensie. Opvallend, want fast-glob wordt beheerd door een ontwikkelaar die in dienst is van het Russische technologiebedrijf Yandex.
Dat blijkt uit onderzoek van het Amerikaanse cybersecuritybedrijf Hunted Labs, dat hierover woensdag publiceerde. De beheerder van de library, die online actief is onder de naam mrmlnc, is volgens Hunted Labs Denis Malinochkin. Zijn GitHub-profiel en een aan hem gelieerde website vermelden dat hij woont in een voorstad van Moskou en werkt als ontwikkelaar bij Yandex. Hunted Labs benadrukt dat er geen bewijs is dat Malinochkin banden heeft met kwaadwillende actoren. Het bedrijf geeft aan voor publicatie geen contact met hem te hebben opgenomen.
Populaire tool
Fast-glob wordt wekelijks meer dan 79 miljoen keer gedownload en is volgens Hunted Labs geïntegreerd in ruim 5.000 openbare projecten. Daarnaast maken minimaal 30 systemen van het Amerikaanse ministerie van Defensie (DoD) gebruik van de utility, evenals diverse Node.js-containerimages. Het werkelijke aantal projecten dat afhankelijk is van de bibliotheek – inclusief gesloten broncode – kan aanzienlijk hoger liggen.
Malinochkin reageerde na publicatie van het rapport op vragen van technieuwsite The Register en bevestigt dat hij de enige ontwikkelaar achter fast-glob is. Hij ontkent ooit benaderd te zijn om de software te manipuleren, verborgen wijzigingen aan te brengen of systeemgegevens te verzamelen en delen: "Niemand heeft me ooit gevraagd om fast-glob te manipuleren, verborgen veranderingen in het project aan te brengen, of gegevens te verzamelen en te delen. Ik geloof dat open source draait om vertrouwen en diversiteit."
Beveiligingsrisico's
Hunted Labs stelt dat de afhankelijkheid van een enkele maintainer, vooral gelet op diens locatie en werkgever, vragen oproept over de beveiligingsrisico’s voor kritieke infrastructuren die de bibliotheek gebruiken. De utility maakt deel uit van een groter ecosysteem van open-sourcesoftware waarover wereldwijd organisaties – zowel publiek als privaat – vertrouwen op bouwen.
De volledige verklaring van Malinochkin is te vinden bij The Register.
