Marak Squires, forfatter til de populære farver (node.js-konsolfarvning) og falske (falske datagenerator til inputfelter) pakker, med 2.8 millioner og 25 millioner ugentlige downloads, har udgivet nye versioner af sine produkter i NPM-lageret og på GitHub , herunder destruktive ændringer, der målrettet fører til fejl på tidspunktet for montering og udførelse af afhængige projekter. Som et resultat af Maraks handlinger blev arbejdet i mange projekter, herunder AWS CDK, ved at bruge de angivne biblioteker forstyrret - farvebiblioteket bruges som en afhængighed i 18953 projekter, og faker bruges i 2571.
I bibliotekskoden "farver" blev konsoloutput af teksten "LIBERTY LIBERTY LIBERTY" og en uendelig løkke tilføjet, hvilket blokerede arbejdet i afhængige projekter og udsendte en strøm af forvrængede ord "tesing". Det falske bibliotek fjernede indholdet af depotet, tilføjede .gitignore- og .npmignore-filer til "endgame"-forpligtelsen til at ekskludere projektfiler og erstattede indholdet af README-filen med spørgsmålet "Hvad skete der virkelig med Aaron Swartz." Problemer er til stede i versionerne farver 1.4.1+ og faker 6.6.6.
Som svar på disse handlinger blokerede GitHub Maraks adgang til sine lagre (90 offentlige + flere private), og NPM rullede den ondsindede version af pakken tilbage. Samtidig rejser lovligheden af GitHubs handlinger spørgsmål, da en udviklers fjernelse af kode fra et af dens arkiver ikke kan betragtes som en overtrædelse af tjenestens regler. Desuden angiver licensteksten for farverne og falske pakker tydeligt, at der ikke er nogen garantier eller forpligtelser vedrørende kodens funktionalitet.
Interessant nok blev den første advarsel om ophør af udvikling offentliggjort for mere end et år siden. I september 2020 mistede Marak al sin ejendom på grund af en brand, hvorefter han i begyndelsen af november i form af et ultimatum opfordrede kommercielle virksomheder til at bruge hans projekter til at finansiere fortsættelsen af udviklingen, ellers lovede han at stoppe med at støtte ham, da han ikke længere agter at arbejde gratis. Før hændelsen blev den seneste version af farver udgivet for to år siden, og faker blev udgivet for 9 måneder siden.
Hvad angår hans motiver til at foretage destruktive ændringer af pakker, forsøger Marak sandsynligvis at lære en lektie til virksomheder, der nyder godt af arbejdet i det frie softwaresamfund uden at give noget tilbage til gengæld, eller at henlede opmærksomheden på at genoverveje omstændighederne omkring dødsfaldet. Aaron Swartz. Aaron begik selvmord, efter at der blev rejst en straffesag mod ham relateret til kopiering af videnskabelige artikler fra den betalte database JSTOR, der forsvarede ideen om at give gratis adgang til videnskabelige publikationer. Aaron blev anklaget for computersvindel og ulovlig indhentning af oplysninger fra en beskyttet computer, hvor den maksimale straf var 50 års fængsel og en bøde på en million dollars (hvis der blev indgået en retsaftale, og anklagerne blev indrømmet, skulle Aaron afsone 6 måneders fængsel).
Det menes, at Aaron, midt i en depression, ikke kunne modstå presset fra retssystemet og uretfærdigheden i de fremlagte anklager (han stod til 50 års fængsel blot for at downloade indholdet af en database med videnskabelige artikler, som efter hans mening bør distribueres uden begrænsninger). Marak Squires antyder i et spørgsmål om Aarons død i stedet for en slettet kode og i et opslag på Twitter en ubekræftet konspirationsteori, ifølge hvilken Aaron Swartz fandt nogle dokumenter i MIT-arkiverne, der miskrediterede visse vigtige personer, og han var dræbt for det og forklædte det kommende som selvmord (i morgen er det 9 år siden Aaron døde).
Kilde: opennet.ru