据Hunted Labs安全实验室披露,美国国防部(DoD)超过30个系统正广泛使用一款名为fast-glob的开源Node.js工具,而该工具的唯一维护者为居住在莫斯科郊区、任职于Yandex的Denis Malinochkin。fast-glob每周下载量高达7900万次,除DoD外还支撑着超过5000个公开项目,实际影响范围可能更大。
尽管Hunted Labs调查未发现Malinochkin与任何威胁行为者存在关联,且其本人公开否认受到过干预或施压,但专家提醒,该包具备深入系统文件操作能力,一旦被恶意利用,潜在可用于窃取信息、拒绝服务、注入后门或瘫痪关键软件。
Yandex近年来与俄罗斯政府关系密切,这加剧了外界对开源供应链安全的警惕。Hunted Labs联合创始人指出,尤其是无人监督的流行开源依赖,对政府和重要基础设施系统构成风险。随着近年来软件供应链攻击日益频繁,针对来源可靠性的审查和风险防御已成为业内焦点。