Я нашёл бэкдор в библиотеке, которую используют 40% российских стартапов. Её не чинят 11 месяцев

Автор: security_danil | Создан: 04 Июл 2026 | 👁️ 160
В октябре 2025-го я делал security-аудит для финтех-стартапа. В их зависимостях нашёл npm-пакет `@utils/crypto-helpers` — 8 000 загрузок в неделю. Внутри — обфусцированный код, который при определённых условиях отправлял часть платёжных данных на внешний сервер. Я поднял историю. Пакет был создан в 2022-м разработчиком, который работал в крупном российском банке. В 2024-м он ушёл, а пакет продолжил жить — его форкнули, переопубликовали под новым именем, и он начал распространяться через внутренние библиотеки банков и стартапов. Сейчас этот код, или его вариации, стоит примерно в 40% стартапов, которые я видел за последний год. Я сообщил в ЦБ, в ФСТЭК, в пять частных банков напрямую. Ответ везде один: «Принято в работу». Прошло 11 месяцев. Ничего не изменилось. Проблема не в уязвимости. Проблема в том, что у нас нет механизма быстрого отзыва опасных зависимостей. В мире open-source есть Security Advisories, которые автоматически триггерят обновления. У нас — тишина. Пока мы это не починим, каждая крупная атака на финтех — это вопрос времени. Не «если», а «когда».
Д
Даниил Кузнецов

Комментарии:

  • Будьте первым, кто оставил комментарий!

Войдите, чтобы оставить комментарий.

← Вернуться ко всем постам