Marak Squires, Autor der beliebten Pakete „Colors“ (Node.js-Konsolenfärbung) und „Faker“ (Generator für gefälschte Daten für Eingabefelder) mit 2.8 Millionen bzw. 25 Millionen wöchentlichen Downloads, hat neue Versionen seiner Produkte im NPM-Repository und auf GitHub veröffentlicht , einschließlich destruktiver Änderungen, die gezielt zu Fehlern in der Phase der Montage und Ausführung abhängiger Projekte führen. Durch Maraks Aktionen wurde die Arbeit vieler Projekte, einschließlich AWS CDK, die die angegebenen Bibliotheken verwenden, unterbrochen – die Farbbibliothek wird in 18953 Projekten als Abhängigkeit verwendet, und Faker wird in 2571 Projekten verwendet.
Im Bibliothekscode „Farben“ wurden die Konsolenausgabe des Textes „LIBERTY LIBERTY LIBERTY“ und eine Endlosschleife hinzugefügt, die die Arbeit abhängiger Projekte blockiert und einen Strom verzerrter Wörter „tesing“ ausgibt. Die Faker-Bibliothek entfernte den Inhalt des Repositorys, fügte .gitignore- und .npmignore-Dateien zum „Endgame“-Commit hinzu, um Projektdateien auszuschließen, und ersetzte den Inhalt der README-Datei durch die Frage „Was wirklich mit Aaron Swartz passiert ist.“ Probleme treten in den Versionen Colors 1.4.1+ und Faker 6.6.6 auf.
Als Reaktion auf diese Aktionen blockierte GitHub Maraks Zugriff auf seine Repositorys (90 öffentliche + mehrere private) und NPM setzte die bösartige Version des Pakets zurück. Gleichzeitig wirft die Rechtmäßigkeit des Vorgehens von GitHub Fragen auf, da die Entfernung von Code durch einen Entwickler aus einem seiner Repositories nicht als Verstoß gegen die Regeln des Dienstes angesehen werden kann. Darüber hinaus wird im Lizenztext der Farb- und Faker-Pakete klargestellt, dass keine Garantien oder Verpflichtungen hinsichtlich der Funktionalität des Codes bestehen.
Interessanterweise wurde die erste Warnung vor der Einstellung der Entwicklung vor mehr als einem Jahr veröffentlicht. Im September 2020 verlor Marak durch einen Brand sein gesamtes Eigentum, woraufhin er Anfang November in Form eines Ultimatums kommerzielle Unternehmen, die seine Projekte nutzen, aufforderte, die Fortsetzung der Entwicklung zu finanzieren, andernfalls versprach er, ihn nicht mehr zu unterstützen. da er nicht mehr die Absicht hat, unentgeltlich zu arbeiten. Vor dem Vorfall wurde die neueste Version von Colors vor zwei Jahren veröffentlicht, und Faker wurde vor 9 Monaten veröffentlicht.
Was seine Motive für destruktive Änderungen an Paketen angeht, versucht Marak wahrscheinlich, Unternehmen, die von der Arbeit der Freie-Software-Community profitieren, ohne etwas dafür zurückzugeben, eine Lektion zu erteilen oder die Aufmerksamkeit darauf zu lenken, die Umstände des Todes von zu überdenken Aaron Swartz. Aaron beging Selbstmord, nachdem gegen ihn ein Strafverfahren im Zusammenhang mit dem Kopieren wissenschaftlicher Artikel aus der kostenpflichtigen Datenbank JSTOR eingeleitet wurde, und verteidigte die Idee, freien Zugang zu wissenschaftlichen Publikationen zu gewähren. Aaron wurde wegen Computerbetrugs und illegaler Informationsbeschaffung von einem geschützten Computer angeklagt. Die Höchststrafe hierfür betrug 50 Jahre Gefängnis und eine Geldstrafe von einer Million Dollar (wenn eine gerichtliche Einigung erzielt und die Anklage zugelassen würde, müsste Aaron verbüßen). 6 Monate Gefängnis).
Man geht davon aus, dass Aaron inmitten seiner Depression dem Druck des Justizsystems und der Ungerechtigkeit der vorgebrachten Anklagen nicht standhalten konnte (er drohte mit 50 Jahren Gefängnis, nur weil er den Inhalt einer Datenbank mit wissenschaftlichen Artikeln heruntergeladen hatte, was seiner Meinung nach der Fall war). sollten ohne Einschränkungen verteilt werden). Marak Squires weist in einer Frage zu Aarons Tod, die anstelle eines gelöschten Codes gepostet wurde, und in einem Beitrag auf Twitter auf eine unbestätigte Verschwörungstheorie hin, wonach Aaron Swartz in den MIT-Archiven einige Dokumente gefunden habe, die bestimmte wichtige Personen diskreditierten, und das war er auch dafür getötet. Das Kommen als Selbstmord tarnen (morgen ist es 9 Jahre her, seit Aaron gestorben ist).
Source: opennet.ru