Ein Entwickler, Millionen Nutzer: Risiko im Code des Verteidigungsministeriums

Ein zentraler Codebaustein, den auch das US-Verteidigungsministerium und Millionen anderer Anwender nutzen, wird von einem einzigen russischen Entwickler gepflegt. Während manche darin kein Problem sehen – schließlich stützt sich ein Großteil des Internets auf Nebenprojekte einzelner Programmierer –, sorgt die Debatte in der Cybersicherheits-Community für Aufsehen. Die Sorge: Staaten könnten gezielt Einfluss auf einzelne Maintainer nehmen.

Sicherheitsforscher von Hunted Labs lenkten jüngst die Aufmerksamkeit auf „fast-glob“, ein weit verbreitetes Node.js-Werkzeug zur schnellen Suche nach Dateien und Ordnern. „Ein einzelner Entwickler stellt ein Risiko für die Lieferkette von mehr als 5.000 Softwarepaketen dar, darunter Container-Images in Node.js und Systeme des Verteidigungsministeriums“, heißt es in ihrem Bericht. Demnach sei das Paket in mehr als 30 Containern in zugelassenen DoD-Systemen im Einsatz.

Die Abhängigkeitsgrafik auf GitHub verdeutlicht die Dimension: Über 27 Millionen Repositorys nutzen den Code, auf NPM wird er wöchentlich rund 75 Millionen Mal heruntergeladen. Laut Hunted Labs lebt der Maintainer Denis Malinochkin, bekannt unter dem Alias mrmInc, in Moskau und arbeitet für Yandex – ein Konzern, der mit der russischen Regierung bei Überwachung, Zensur und Repression zusammenarbeitet.

Das Risiko sei besonders hoch, da die Open-Source-Community dazu neige, Projekte zu übernehmen, ohne die Hintergründe der Entwickler zu kennen. Zugleich gibt es keine Hinweise darauf, dass Malinochkin den Code jemals missbraucht hätte. Er selbst betont, nie aufgefordert worden zu sein, Manipulationen vorzunehmen oder Daten abzugreifen.

Trotz fehlender Sicherheitslücken gilt fast-glob damit als kritische Abhängigkeit: ein Projekt mit nur einem Maintainer, ohne nennenswerte Kontrolle durch Mitwirkende, schwacher Sicherheitskultur und tiefer Verankerung in unzähligen Softwareprojekten. Experten warnen, das Paket könne leicht unter ausländischen Einfluss geraten, und empfehlen seine Entfernung aus sicherheitsrelevanten Produkten – insbesondere bei US-Behörden und Nachrichtendiensten.

Für das Verteidigungsministerium ist der Fall ein weiteres Beispiel dafür, wie entscheidend nicht nur der Code selbst ist, sondern auch die Frage, wer ihn schreibt.

Denis Malinochkin wandte sich an das IT-Portal The Register und betonte, dass er Fast-Glob bereits seit 2016 entwickelt habe – also lange bevor er zu Yandex kam. Das Projekt sei vollständig quelloffen, laufe ausschließlich lokal und könne von jedem überprüft werden.

Auch aus der Fachcommunity kam Rückendeckung für den Entwickler. Josh Bressers, Podcaster, Blogger und Vice President of Security beim Unternehmen Anchore, stellte sich in einem Blogbeitrag hinter Malinochkin. „Die Hälfte des beliebtesten Codes stammt von einer einzelnen Person“, schrieb er und verwies auf die grundlegende Struktur von Open Source.

„Die Software, die den gesamten Planeten am Laufen hält, wurde von einer Person geschrieben – irgendwo auf der Welt. Wir wissen oft nicht einmal, in welchem Land. Es ist nicht dieselbe Person, aber es ist immer nur eine“, so Bressers. Seiner Einschätzung nach würden fast alle Open-Source-Projekte buchstäblich von Einzelpersonen getragen.

Was ist Fast-Glob?

Fast-Glob ist ein Softwarepaket, das in Node.js-Umgebungen verwendet wird, um Dateien mithilfe flexibler Musterregeln, einer als „Globbing” bekannten Methode, effizient zu suchen und abzugleichen. Es unterstützt synchrone, asynchrone und Streaming-APIs und lässt sich somit an die Anforderungen verschiedener Projekte anpassen. Die Bibliothek unterstützt Einschluss- und Ausschlussmuster und ermöglicht so eine präzise Dateisuche. Fast-glob enthält standardmäßig TypeScript-Typdefinitionen, was die Entwicklererfahrung in typisierten Umgebungen verbessert. Seine Geschwindigkeit und sein Funktionsumfang machen es zu einer bevorzugten Alternative zu älteren Globbing-Bibliotheken wie node-glob.

Fast-glob wurde ursprünglich im Dezember 2016 veröffentlicht, wird seitdem aktiv gepflegt und hat sich im JavaScript-Ökosystem weit verbreitet. Es wird in mehr als 5.000 öffentlichen Projekten verwendet – darunter beliebte Tools wie Prettier – und verzeichnet derzeit mehr als 79 Millionen Downloads pro Woche. Die Untersuchung von Hunted Labs ergab, dass es in mehr als 30 Containern in zugelassenen DoD-Systemen zu finden ist.

Hunted Labs geht in seinem Bericht auch der Frage nach: Wer kontrolliert Fast-glob?

Der alleinige Betreuer des Projekts ist unter dem GitHub-Namen mrmInc bekannt und führt in seinem Profil den Namen Denis Malinochkin. Dort gibt er an, als Ingenieur beim russischen Technologieunternehmen Yandex zu arbeiten und in Odintsovo, einem Vorort von Moskau, zu leben.

Über sein Profil wird deutlich, dass Malinochkin nicht nur Fast-glob betreut, sondern auch maßgeblich an mehreren unterstützenden Projekten mitwirkt. Dazu zählen:

• @nodelib/fs.stat – schnelles Abrufen von Datei- und Verzeichnis-Metadaten über fs.stat und fs.lstat

• @nodelib/fs.walk – rekursives Durchlaufen von Verzeichnissen zum Sammeln von Dateipfaden und Metadaten

• @nodelib/fs.scandir – Auslesen von Verzeichnissen (nicht rekursiv) mit Basisinformationen wie Name und Typ

• picomatch – leichtgewichtige JavaScript-Bibliothek, die Glob-Muster in effiziente reguläre Ausdrücke übersetzt

• braces – JavaScript-Bibliothek zur Erweiterung oder Kompilierung von Klammermustern in Arrays oder reguläre Ausdrücke, etwa zum Erzeugen von Zeichenfolgenlisten oder zum Abgleichen von Dateipfaden

Durch diese Beiträge verfügt Malinochkin über erheblichen Einfluss – nicht nur auf Fast-glob selbst, sondern auch auf dessen funktionale Abhängigkeiten und gängige Alternativen.

Möglicher Einfluss des russischen Staates

Ein einzelner Maintainer mit Sitz in einem autoritären Land – gekennzeichnet durch einen starken Sicherheitsdienst und eingeschränkten Schutz der Menschenrechte – stellt ein potenzielles Risiko für die Sicherheit und Integrität des Pakets dar, insbesondere eines mit dem Zugriff und der Popularität von fast-glob. Angesichts ihrer Verbindung zu Yandex – einem russischen Technologieunternehmen, das vor allem für Yandex Search, die beliebteste Suchmaschine in Russland, bekannt ist – ist es außerdem wahrscheinlicher, dass der Entwickler bei seiner täglichen Arbeit mit dem FSB oder Mitarbeitern der Staatssicherheit in Kontakt kommt und möglicherweise Druck ausgesetzt wird.

Zwar unterliegt Yandex, das auch Mitfahrdienste, Navigationsprodukte und andere mobile Verbraucheranwendungen anbietet, derzeit keinen Sanktionen seitens der Vereinigten Staaten oder der Europäischen Union, doch ist bei der Nutzung der von diesem Unternehmen entwickelten Technologien aufgrund seiner engen Zusammenarbeit und Verbindungen zum russischen Staat und zu Sicherheitsbehörden große Vorsicht geboten. Insbesondere im Jahr 2019 gab das Unternehmen der staatlichen und Kreml-nahen Sberbank freiwillig eine Golden Share, die ihr ein Vetorecht bei Transaktionen mit mehr als 25 % der Yandex-Aktien einräumt. Seitdem kooperiert Yandex zunehmend mit den russischen Gesetzen zur Datenweitergabe und setzt Nutzer und Unternehmen der Gefahr staatlicher Überwachung, eingeschränkter Privatsphäre, bösartiger Codes und Datenverstößen aus. Laut seinem eigenen Transparenzbericht und zusätzlichen öffentlichen Berichten kam das Unternehmen in der ersten Hälfte des Jahres 2024 80 % der 36.540 Anfragen der russischen Regierung nach, Daten über seine Nutzer weiterzugeben – ein Anstieg von 12 % gegenüber dem gleichen Zeitraum im Jahr 2023.

Nach der COVID-19-Pandemie und dem Einmarsch Russlands in die Ukraine hat Yandex laut einem Bericht der MIT Technology Review kontinuierlich eng mit dem Kreml zusammengearbeitet:

• Februar 2020: Ein Polizist, der beschuldigt wurde, einem Journalisten Drogen untergeschoben zu haben, gab an, die Adresse des Reporters von Yandex Taxi erhalten zu haben.
• April 2020: Es gab Berichte, dass Moskau Yandex nutzen könnte, um ausländische Touristen über ihre Mobiltelefondaten zu überwachen. Yandex dementierte dies.
• April 2020: Das Unternehmen löschte kritische Kommentare zu Regierungsgebäuden aus Yandex Navigator.
• April 2020: Suchanfragen nach dem Oppositionsführer Alexei Navalny lieferten überwiegend negative Ergebnisse, was Yandex als „Experiment” bezeichnete.

Dies deutet auf einen staatlichen Einfluss auf russische Technologieunternehmen hin, den wir zuvor in einem Bedrohungsbericht über easyjson, ein Go-Paket, das russischen Entwicklern gehört und von ihnen gepflegt und kontrolliert wird, ausführlich beschrieben haben.

Risiken durch die Nutzung von Fast-glob

Hunted Labs warnt, Fast-glob eröffne sowohl dem alleinigen Betreuer als auch staatlichen Akteuren die Möglichkeit, einen Angriff mit staatlicher Unterstützung durchzuführen. Hintergrund sei die Tendenz der Open-Source-Community, Projekte ohne nähere Prüfung der Mitwirkenden zu übernehmen. Die Gefahren seien daher erheblich.

Zwar gebe es derzeit keine Hinweise auf Verbindungen des Maintainers mrmInc zu Bedrohungsakteuren. Sein Profil könnte jedoch mit geringem Aufwand kompromittiert werden. In diesem Fall wäre es möglich, unbemerkt Updates für mehr als 5.000 Projekte einzuschleusen. Damit erhielten potenzielle Angreifer unmittelbaren Zugriff auf Tausende Anwendungen – darunter nicht nur öffentliche, sondern auch private und vertrauliche Projekte der gesamten Node.js-Community. Eine solche Kompromittierung könnte kritische Infrastrukturen in Regierung, Wirtschaft, Gesundheitswesen und Finanzsystemen beeinträchtigen.

Zu den denkbaren Angriffsszenarien zählen:

• Zugriff auf sensible Dateien im Dateisystem, etwa Umgebungsvariablen oder SSH-Schlüssel

• Denial-of-Service-Angriffe bei großen Dateisystemen oder erzwungenem Zugriff

• Glob-Injection-Angriffe, mit denen Dateien übersprungen oder Daten exfiltriert werden könnten

• Nutzung symbolischer Links, um unvorhergesehene Bereiche des Dateisystems zu erreichen

• Kill-Switch-Angriffe, die nachgelagerte Software lahmlegen

• Einschleusen von Malware in abhängige Programme

Angesichts des umfassenden Dateizugriffs von Fast-glob lasse sich das Gefahrenpotenzial kaum überschätzen. Offizielle Schwachstellenmeldungen (CVEs) gibt es derzeit jedoch nicht.

Möglichkeiten zur Absicherung

Eine schnelle Lösung für das Risiko existiert laut Hunted Labs nicht. Empfohlen wird, zusätzliche Maintainer mit überprüfbarer Identität und Wohnsitz in demokratischen Staaten einzubinden. Dies könne Millionen Projekte sofort besser absichern. Alternativ könnten Organisationen Fast-glob durch ähnliche Bibliotheken ersetzen, bestehende Versionen einfrieren, eine eigene Abspaltung (Fork) pflegen oder mit Sicherheitspartnern zusammenarbeiten, um problematische Komponenten zu identifizieren und auszutauschen.

Open Source als Angriffsfläche

Der Bericht betont, dass Open-Source-Software keine bekannte Schwachstelle benötigt, um gefährlich zu sein. Genügend seien Zugriffsrechte, fehlende Transparenz und Nachlässigkeit. Fast-glob sei nur ein Beispiel dafür, wie ausländisch kontrollierter Code unbemerkt in vertrauenswürdige Software gelangen könne.

Für US-Unternehmen mit dem Verteidigungsministerium als Kunden ist dies besonders relevant: Der Einsatz solcher Projekte könne dazu führen, dass die strengen Sicherheitsvorgaben für die Lieferkette nicht erfüllt werden. In einem Memo vom Juli 2025 heißt es dazu:

„Das Verteidigungsministerium wird keine Hardware oder Software beschaffen, die anfällig für feindliche ausländische Einflüsse ist, die ein Risiko für die Mission darstellen. Solche Gegner dürfen keine Möglichkeit erhalten, bösartige Funktionen in die vom Ministerium genutzten Produkte einzubringen.“

Das Fazit der Forscher: Jedes Unternehmen, das mit sensiblen Daten arbeitet, müsse wissen, wer den eingesetzten Open-Source-Code entwickelt, und einschätzen, ob dabei Risiken für Kunden oder Missionen entstehen.

Das könnte Ihnen gefallen

---

Bild/Quelle: Pixabay

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky

---