Марак Сквайрс (Marak Squires), аўтар папулярных пакетаў colors (расфарбоўка кансолі node.js) і faker (генератар фіктыўных дадзеных для палёў уводу), якія налічваюць 2.8 і 25 млн штотыднёвых загрузак, размясціў у рэпазітары NPM і на GitHub новыя версіі сваіх прадуктаў, улучальныя дестру выканання залежных праектаў. У выніку дзеянняў Марака была парушана праца шматлікіх праектаў, у тым ліку AWS CDK, якія выкарыстоўваюць названыя бібліятэкі — бібліятэка colors выкарыстоўваецца ў якасці залежнасці ў 18953 праектаў, а faker — у 2571.
У код бібліятэкі "colors" была дададзеная выснова ў кансоль тэксту "LIBERTY LIBERTY LIBERTY" і бясконцы цыкл, які блакуе працу залежных праектаў і выводзіць паток са скажоных слоў "tesing". У бібліятэцы faker выдаленае змесціва рэпазітара, у коміце «endgame» дададзеныя файлы .gitignore і .npmignore для выключэння файлаў праекта, а замест змесціва файла README змешчана пытанне «Што насамрэч здарылася з Ааронам Шварцам». Праблемы прысутнічаюць у версіях colors 1.4.1+ і faker 6.6.6.
У адказ на здзейсненыя дзеянні GitHub заблакаваў доступ Марака да сваіх рэпазітароў (90 публічных + некалькі прыватных), а NPM адкаціў шкоднасную версію пакета. абазначана адсутнасць любых гарантый і абавязацельстваў у дачыненні да працаздольнасці кода.
Цікава, што першае папярэджанне аб спыненні распрацоўкі было апублікавана больш за год таму. інцыдэнту апошняя версія colors была выпушчана два гады таму, а faker – 2020 месяцаў таму.
Што да матываў унясення ў пакеты дэструктыўных змен, то верагодна Марак спрабуе даць урок карпарацыям, якія карыстаюцца працамі супольнасці распрацоўнікаў вольнага ПЗ, але нічога не вяртаюць наўзамен, або прыцягнуць увагу да пераасэнсавання акалічнасцяў смерці Аарона Шварца. Аарон скончыў жыццё самагубствам пасля ўзбуджанай супраць яго крымінальнай справы, звязанай з капіраваннем навуковых артыкулаў з платнай базы дадзеных JSTOR, адстойваючы ідэю прадастаўлення свабоднага доступу да навуковых публікацый. Аарону былі прад'яўленыя абвінавачванні ў кампутарным махлярстве і незаконным атрыманні інфармацыі з абароненага кампутара, максімальны тэрмін пакарання па якіх складаў 50 гадоў пазбаўлення волі і штраф у мільён даляраў (у выпадку заключэння судовага пагаднення і прызнання абвінавачанняў Аарону трэба было адседзець у турме 6 месяцаў).
Лічыцца, што Аарон на фоне дэпрэсіі не вытрымаў ціску судовай сістэмы і несправядлівасці абвінавачванняў (яму пагражала 50 гадоў турмы толькі за тое, што ён запампаваў змесціва базы дадзеных навуковых артыкулаў, якія на яго думку павінны распаўсюджвацца без абмежавання). Марак Сквайрс у апублікаваным замест выдаленага кода пытанні аб смерці Аарона і ў публікацыі ў Twitter-е намякае на непацверджаную тэорыю змовы, у адпаведнасці з якой Аарон Шварц знайшоў у архіве MIT нейкія дакументы, якія ганьбяць пэўных важных асоб, і яго за гэта забілі. споўніцца 9 гадоў як Аарон пайшоў з жыцця).
Крыніца: opennet.ru
