Skip to content

搞英语 → 看世界

翻译英文优质信息和名人推特

Menu
  • 首页
  • 作者列表
  • 独立博客
  • 专业媒体
  • 名人推特
  • 邮件列表
  • 关于本站
Menu

据报道,国防部依赖俄罗斯开发者编写的实用程序

Posted on 2025-08-28

军事_64.png

一个名为 fast-glob 的 Node.js 实用程序被广泛使用,数千个项目(包括 30 多个美国国防部系统)依赖该实用程序,而该实用程序仅由一位与 Yandex 相关的俄罗斯开发者维护。虽然没有证据表明存在恶意活动,但网络安全专家警告称,此类关键开源项目缺乏监管,使其容易受到政府支持的行为者的攻击。The Register 报道:美国网络安全公司 Hunted Labs 于周三披露了这一消息。该实用程序名为 fast-glob,用于查找符合特定模式的文件和文件夹。其维护者使用用户名“mrmlnc”,与该用户名关联的 Github 个人资料显示其所有者是一位名叫 Denis Malinochkin 的 Yandex 开发者,居住在莫斯科郊区。Hunted Labs 指出,与该用户名关联的一个网站也显示其所有者是同一人。Hunted Labs 表示,在今天的报告发布之前,他们没有与 Malinochkin 交谈过,并且没有发现他与任何威胁行为者之间存在任何关联。据 Hunted Labs 称, fast-glob 每周的下载量超过 7900 万次,目前除了包含它的国防部系统和 Node.js 容器镜像外,还有超过 5000 个公共项目在使用。这还不包括可能使用它的私人项目,这意味着实际面临风险的项目数量可能要大得多。虽然 fast-glob 没有已知的 CVE,但该实用程序可以深入访问使用它的系统,这可能为俄罗斯提供了许多可利用的攻击向量。Fast-glob 可以直接攻击文件系统以泄露和窃取信息、发起 DoS 或 glob 注入攻击、包含终止开关以阻止下游软件正常运行,或注入其他恶意软件,Hunted Labs 表示,这些攻击方式并非详尽无遗。[…] Hunted Labs 联合创始人 Haden Smith 告诉 The Register,这些关联令人担忧。“俄罗斯人编写的每一段代码并非一定值得怀疑,但那些没有外部监督的流行软件包很容易被国家或国家支持的行为者利用,以达到他们进一步的目标,”Smith 在一封电子邮件中告诉我们。“作为一个总体而言,开源社区应该更加关注这种风险并采取措施降低其影响。” […] Hunted Labs 表示,对于数千个使用 fast-glob 的项目来说,最简单的解决方案就是让 Malinochkin 增加维护人员并加强项目监督,因为唯一的替代方案就是让任何使用它的人都找到合适的替代品。“开源软件不需要 CVE 才能构成危险,”Hunted Labs 就此事表示。“它只需要访问、隐蔽性和自满情绪,”我们之前指出,这正是开源项目一直存在的问题。这再次有力地提醒我们,了解代码的编写者与了解代码的功能同样重要,”Hunted Labs 总结道。

twitter_icon_large.png facebook_icon_large.png

在 Slashdot 上阅读更多内容。

原文: https://tech.slashdot.org/story/25/08/27/2026245/defense-department-reportedly-relies-on-utility-written-by-russian-dev?utm_source=rss1.0mainlinkanon&utm_medium=feed

本站文章系自动翻译,站长会周期检查,如果有不当内容,请点此留言,非常感谢。
  • Abhinav
  • Abigail Pain
  • Adam Fortuna
  • Alberto Gallego
  • Alex Wlchan
  • Answer.AI
  • Arne Bahlo
  • Ben Carlson
  • Ben Kuhn
  • Bert Hubert
  • Big Technology
  • Bits about Money
  • Brian Krebs
  • ByteByteGo
  • Chip Huyen
  • Chips and Cheese
  • Christopher Butler
  • Colin Percival
  • Cool Infographics
  • Dan Sinker
  • David Walsh
  • Dmitry Dolzhenko
  • Dustin Curtis
  • eighty twenty
  • Elad Gil
  • Ellie Huxtable
  • Ethan Dalool
  • Ethan Marcotte
  • Exponential View
  • FAIL Blog
  • Founder Weekly
  • Geoffrey Huntley
  • Geoffrey Litt
  • Greg Mankiw
  • HeardThat Blog
  • Henrique Dias
  • Herman Martinus
  • Hypercritical
  • IEEE Spectrum
  • Investment Talk
  • Jaz
  • Jeff Geerling
  • Jonas Hietala
  • Josh Comeau
  • Lenny Rachitsky
  • Li Haoyi
  • Liz Danzico
  • Lou Plummer
  • Luke Wroblewski
  • Maggie Appleton
  • Matt Baer
  • Matt Stoller
  • Matthias Endler
  • Mert Bulan
  • Mind Matters
  • Mostly metrics
  • Naval Ravikant
  • News Letter
  • NextDraft
  • Non_Interactive
  • Not Boring
  • One Useful Thing
  • Phil Eaton
  • Product Market Fit
  • Readwise
  • ReedyBear
  • Robert Heaton
  • Rohit Patel
  • Ruben Schade
  • Sage Economics
  • Sam Altman
  • Sam Rose
  • selfh.st
  • Shtetl-Optimized
  • Simon schreibt
  • Slashdot
  • Small Good Things
  • Steph Ango
  • Stephen Wolfram
  • Steve Blank
  • Taylor Troesh
  • Telegram Blog
  • The Macro Compass
  • The Pomp Letter
  • thesephist
  • Thinking Deep & Wide
  • Tim Kellogg
  • Understanding AI
  • Wes Kao
  • 英文媒体
  • 英文推特
  • 英文独立博客
©2025 搞英语 → 看世界 | Design: Newspaperly WordPress Theme