一个名为 fast-glob 的 Node.js 实用程序被广泛使用,数千个项目(包括 30 多个美国国防部系统)依赖该实用程序,而该实用程序仅由一位与 Yandex 相关的俄罗斯开发者维护。虽然没有证据表明存在恶意活动,但网络安全专家警告称,此类关键开源项目缺乏监管,使其容易受到政府支持的行为者的攻击。The Register 报道:美国网络安全公司 Hunted Labs 于周三披露了这一消息。该实用程序名为 fast-glob,用于查找符合特定模式的文件和文件夹。其维护者使用用户名“mrmlnc”,与该用户名关联的 Github 个人资料显示其所有者是一位名叫 Denis Malinochkin 的 Yandex 开发者,居住在莫斯科郊区。Hunted Labs 指出,与该用户名关联的一个网站也显示其所有者是同一人。Hunted Labs 表示,在今天的报告发布之前,他们没有与 Malinochkin 交谈过,并且没有发现他与任何威胁行为者之间存在任何关联。据 Hunted Labs 称, fast-glob 每周的下载量超过 7900 万次,目前除了包含它的国防部系统和 Node.js 容器镜像外,还有超过 5000 个公共项目在使用。这还不包括可能使用它的私人项目,这意味着实际面临风险的项目数量可能要大得多。虽然 fast-glob 没有已知的 CVE,但该实用程序可以深入访问使用它的系统,这可能为俄罗斯提供了许多可利用的攻击向量。Fast-glob 可以直接攻击文件系统以泄露和窃取信息、发起 DoS 或 glob 注入攻击、包含终止开关以阻止下游软件正常运行,或注入其他恶意软件,Hunted Labs 表示,这些攻击方式并非详尽无遗。[…] Hunted Labs 联合创始人 Haden Smith 告诉 The Register,这些关联令人担忧。“俄罗斯人编写的每一段代码并非一定值得怀疑,但那些没有外部监督的流行软件包很容易被国家或国家支持的行为者利用,以达到他们进一步的目标,”Smith 在一封电子邮件中告诉我们。“作为一个总体而言,开源社区应该更加关注这种风险并采取措施降低其影响。” […] Hunted Labs 表示,对于数千个使用 fast-glob 的项目来说,最简单的解决方案就是让 Malinochkin 增加维护人员并加强项目监督,因为唯一的替代方案就是让任何使用它的人都找到合适的替代品。“开源软件不需要 CVE 才能构成危险,”Hunted Labs 就此事表示。“它只需要访问、隐蔽性和自满情绪,”我们之前指出,这正是开源项目一直存在的问题。这再次有力地提醒我们,了解代码的编写者与了解代码的功能同样重要,”Hunted Labs 总结道。
在 Slashdot 上阅读更多内容。