Marak Squires, autor popularnih paketa boja (node.js kolorizacija konzole) i faker (lažni generator podataka za polja za unos), sa 2.8 miliona i 25 miliona preuzimanja sedmično, objavio je nove verzije svojih proizvoda u NPM spremištu i na GitHub-u , uključujući destruktivne promjene koje namjerno dovode do kvarova u fazi montaže i izvođenja zavisnih projekata. Kao rezultat Marakovih akcija, poremećen je rad mnogih projekata, uključujući AWS CDK, koji koriste navedene biblioteke - biblioteka boja se koristi kao zavisnost u 18953 projekta, a faker se koristi u 2571.
U kodu biblioteke "colors" dodani su izlazni tekst na konzoli "LIBERTY LIBERTY LIBERTY" i beskonačna petlja, blokirajući rad zavisnih projekata i izlazeći tok iskrivljenih riječi "tesing". Faker biblioteka je uklonila sadržaj spremišta, dodala datoteke .gitignore i .npmignore u "endgame" urezivanje da bi se isključile projektne datoteke i zamenila sadržaj README datoteke pitanjem "Šta se zaista dogodilo Aaronu Swartzu." Problemi su prisutni u verzijama boja 1.4.1+ i faker 6.6.6.
Kao odgovor na ove radnje, GitHub je blokirao Marakov pristup svojim spremištima (90 javnih + nekoliko privatnih), a NPM je vratio zlonamjernu verziju paketa. U isto vrijeme, zakonitost GitHubovih radnji postavlja pitanja, budući da se uklanjanje koda od strane programera iz jednog od njegovih spremišta ne može smatrati kršenjem pravila usluge. Štaviše, tekst licence za boje i lažne pakete jasno kaže da ne postoje garancije ili obaveze u pogledu funkcionalnosti koda.
Zanimljivo, prvo upozorenje o prestanku razvoja objavljeno je prije više od godinu dana. U septembru 2020. godine Marak je zbog požara izgubio svu imovinu, nakon čega je početkom novembra, u formi ultimatuma, pozvao komercijalne kompanije da svojim projektima finansiraju nastavak razvoja, u suprotnom je obećao da će ga prestati podržavati, pošto više ne namerava da radi besplatno. Prije incidenta, najnovija verzija boja objavljena je prije dvije godine, a faker prije 9 mjeseci.
Što se tiče njegovih motiva za destruktivne promjene u paketima, Marak vjerovatno pokušava naučiti lekciju korporacijama koje imaju koristi od rada zajednice slobodnog softvera, a da ništa ne vraćaju, ili da skrene pažnju na ponovno promišljanje okolnosti smrti Aaron Swartz. Aron je izvršio samoubistvo nakon što je protiv njega pokrenut krivični postupak za kopiranje naučnih članaka iz plaćene baze podataka JSTOR, braneći ideju omogućavanja besplatnog pristupa naučnim publikacijama. Aron je optužen za kompjutersku prevaru i nezakonito pribavljanje informacija sa zaštićenog računara, za što je maksimalna kazna bila 50 godina zatvora i novčana kazna od milion dolara (ako se postigne sudski sporazum i optužbe budu prihvaćene, Aron bi morao da služi 6 mjeseci zatvora).
Smatra se da Aron, usred depresije, nije mogao da izdrži pritisak pravosudnog sistema i nepravdu iznesenih optužbi (pretilo mu je 50 godina zatvora samo zbog preuzimanja sadržaja baze naučnih članaka, koji je, po njegovom mišljenju, treba distribuirati bez ograničenja). Marak Squires, u pitanju o Aaronovoj smrti objavljenom umjesto obrisane šifre i u objavi na Twitteru, nagoveštava nepotvrđenu teoriju zavere, prema kojoj je Aaron Swartz u arhivi MIT-a pronašao neke dokumente koji su diskreditovali određene važne ljude, a on je ubijen zbog toga.maskirajući dolazak u samoubistvo (sutra će biti 9 godina od Aronove smrti).
izvor: opennet.ru