قام مارك سكوايرز، مؤلف حزم الألوان الشائعة (تلوين وحدة التحكم Node.js) وحزم Faker (مولد البيانات المزيفة لحقول الإدخال)، مع 2.8 مليون و25 مليون عملية تنزيل أسبوعية، بنشر إصدارات جديدة من منتجاته في مستودع NPM وعلى GitHub ، بما في ذلك التغييرات المدمرة التي تؤدي بشكل متعمد إلى الفشل في مرحلة التجميع وتنفيذ المشاريع التابعة. نتيجة لإجراءات ماراك، تعطل عمل العديد من المشاريع، بما في ذلك AWS CDK، باستخدام المكتبات المحددة - تم استخدام مكتبة الألوان كتبعية في 18953 مشروعًا، وتم استخدام Faker في 2571.
في رمز مكتبة "الألوان"، تمت إضافة إخراج وحدة التحكم للنص "LIBERTY LIBERTY LIBERTY" وحلقة لا نهائية، مما يمنع عمل المشاريع التابعة ويخرج دفقًا من الكلمات المشوهة "tesing". قامت المكتبة المزيفة بإزالة محتويات المستودع، وأضافت ملفات .gitignore و.npmignore إلى التزام "endgame" لاستبعاد ملفات المشروع، واستبدلت محتويات ملف README بالسؤال "ما حدث بالفعل لـ Aaron Swartz". المشاكل موجودة في إصدارات الألوان 1.4.1+ و Faker 6.6.6.
ردًا على هذه الإجراءات، قام GitHub بحظر وصول Marak إلى مستودعاته (90 مستودعًا عامًا + العديد من المستودعات الخاصة)، وألغت NPM النسخة الضارة من الحزمة. في الوقت نفسه، تثير شرعية تصرفات GitHub تساؤلات، حيث لا يمكن اعتبار إزالة التعليمات البرمجية من قبل المطور من أحد مستودعاته انتهاكًا لقواعد الخدمة. علاوة على ذلك، ينص نص الترخيص الخاص بالألوان والحزم المزيفة بوضوح على عدم وجود ضمانات أو التزامات فيما يتعلق بوظيفة الكود.
ومن المثير للاهتمام أن التحذير الأول بشأن توقف التطوير تم نشره منذ أكثر من عام. في سبتمبر 2020، خسر مراك جميع ممتلكاته بسبب حريق، وبعد ذلك في أوائل نوفمبر، على شكل إنذار نهائي، دعا الشركات التجارية التي تستخدم مشاريعه لتمويل استمرار التطوير، وإلا وعد بالتوقف عن دعمه، لأنه لم يعد ينوي العمل مجانًا. قبل الحادثة، تم إصدار أحدث إصدار من الألوان منذ عامين، وتم إصدار Faker قبل 9 أشهر.
أما عن دوافعه لإجراء تغييرات مدمرة على الحزم، فمن المرجح أن ماراك يحاول تلقين درس للشركات التي تستفيد من عمل مجتمع البرمجيات الحرة دون تقديم أي شيء في المقابل، أو لفت الانتباه إلى إعادة التفكير في ظروف وفاة آرون سوارتز. انتحر آرون بعد رفع قضية جنائية ضده تتعلق بنسخ مقالات علمية من قاعدة البيانات المدفوعة JSTOR، دفاعًا عن فكرة توفير الوصول المجاني إلى المنشورات العلمية. تم اتهام آرون بالاحتيال على الكمبيوتر والحصول بشكل غير قانوني على معلومات من جهاز كمبيوتر محمي، وكانت العقوبة القصوى لها هي السجن 50 عامًا وغرامة قدرها مليون دولار (إذا تم التوصل إلى اتفاق من المحكمة وتم الاعتراف بالتهم، فسيتعين على آرون أن يخدم 6 أشهر في السجن).
ويعتقد أن هارون، وسط حالة من الاكتئاب، لم يتمكن من الصمود أمام ضغط النظام القضائي وظلم التهم الموجهة إليه (كان يواجه 50 عاما في السجن لمجرد تحميله محتويات قاعدة بيانات للمقالات العلمية، والتي في رأيه) ينبغي توزيعها دون قيود). يلمح مارك سكوايرز، في سؤال حول وفاة آرون نُشر بدلاً من الكود المحذوف وفي منشور على تويتر، إلى نظرية مؤامرة غير مؤكدة، والتي بموجبها وجد آرون سوارتز بعض الوثائق في أرشيفات معهد ماساتشوستس للتكنولوجيا التي شوهت مصداقية بعض الأشخاص المهمين، وكان كذلك قُتل من أجله، متخفيًا المجيء على أنه انتحار (غدًا تمر 9 سنوات على وفاة هارون).
المصدر: opennet.ru