Marak Squires, autor dels populars paquets colors (colorització de la consola node.js) i faker (generador de dades falses per a camps d'entrada), amb 2.8 milions i 25 milions de descàrregues setmanals, ha publicat noves versions dels seus productes al repositori NPM i a GitHub. , inclosos els canvis destructius que de manera intencionada condueixen a fallades en l'etapa de muntatge i execució de projectes dependents. Com a resultat de les accions de Marak, es va interrompre el treball de molts projectes, inclòs AWS CDK, que utilitzaven les biblioteques especificades: la biblioteca de colors s'utilitza com a dependència en 18953 projectes i faker s'utilitza en 2571.
Al codi de la biblioteca "colors", es va afegir la sortida de la consola del text "LIBERTY LIBERTY LIBERTY" i un bucle infinit, bloquejant el treball dels projectes dependents i generant un flux de paraules distorsionades "tesing". La biblioteca falsificada va eliminar el contingut del dipòsit, va afegir fitxers .gitignore i .npmignore a la confirmació "final del joc" per excloure els fitxers del projecte i va substituir el contingut del fitxer README per la pregunta "Què li va passar realment a Aaron Swartz". Hi ha problemes a les versions colors 1.4.1+ i faker 6.6.6.
En resposta a aquestes accions, GitHub va bloquejar l'accés de Marak als seus dipòsits (90 públics + diversos privats) i NPM va revertir la versió maliciosa del paquet. Al mateix temps, la legalitat de les accions de GitHub planteja preguntes, ja que l'eliminació del codi per part d'un desenvolupador d'un dels seus repositoris no es pot considerar una violació de les regles del servei. A més, el text de la llicència per als paquets de colors i falsificacions indica clarament que no hi ha garanties ni obligacions pel que fa a la funcionalitat del codi.
Curiosament, el primer avís sobre el cessament del desenvolupament es va publicar fa més d'un any. El setembre de 2020, Marak va perdre tota la seva propietat a causa d'un incendi, després del qual a principis de novembre, en forma d'ultimàtum, va demanar a les empreses comercials que utilitzessin els seus projectes per finançar la continuació del desenvolupament, en cas contrari es va comprometre a deixar de donar-li suport. ja que ja no té intenció de treballar gratis. Abans de l'incident, la darrera versió de colors es va llançar fa dos anys, i faker es va llançar fa 9 mesos.
Pel que fa als seus motius per fer canvis destructius als paquets, és probable que Marak estigui intentant donar una lliçó a les corporacions que es beneficien del treball de la comunitat de programari lliure sense retornar res a canvi, o cridar l'atenció per repensar les circumstàncies de la mort de Aaron Swartz. Aaron es va suïcidar després que se li iniciés un cas penal relacionat amb la còpia d'articles científics de la base de dades de pagament JSTOR, defensant la idea de proporcionar accés gratuït a publicacions científiques. Aaron va ser acusat de frau informàtic i d'obtenció il·legal d'informació d'un ordinador protegit, la pena màxima per la qual va ser de 50 anys de presó i una multa d'un milió de dòlars (si s'arribava a un acord judicial i s'admetien els càrrecs, Aaron hauria de complir 6 mesos de presó).
Es creu que Aaron, enmig de la depressió, no va poder suportar la pressió del sistema judicial i la injustícia dels càrrecs presentats (s'enfrontava a 50 anys de presó només per descarregar el contingut d'una base de dades d'articles científics, que al seu parer). s'ha de distribuir sense restriccions). Marak Squires, en una pregunta sobre la mort d'Aaron publicada en lloc d'un codi suprimit i en una publicació a Twitter, insinua una teoria de la conspiració no confirmada, segons la qual Aaron Swartz va trobar alguns documents als arxius del MIT que desacreditaven certes persones importants, i va ser assassinat per això, disfressar l'arribada de suïcidi (demà farà 9 anys que Aaron va morir).
Font: opennet.ru