Marak Squires, autor de los populares paquetes colours (coloración de la consola node.js) y faker (generador de datos falsos para campos de entrada), con 2.8 millones y 25 millones de descargas semanales, ha publicado nuevas versiones de sus productos en el repositorio de NPM y en GitHub. , incluidos cambios destructivos que conducen intencionalmente a fallas en la etapa de ensamblaje y ejecución de proyectos dependientes. Como resultado de las acciones de Marak, se interrumpió el trabajo de muchos proyectos, incluido AWS CDK, que utilizan las bibliotecas especificadas: la biblioteca de colores se utiliza como dependencia en 18953 proyectos y faker en 2571.
En el código de la biblioteca "colores", se agregó la salida de consola del texto "LIBERTY LIBERTY LIBERTY" y un bucle infinito, bloqueando el trabajo de proyectos dependientes y generando un flujo de palabras distorsionadas "tesing". La biblioteca falsa eliminó el contenido del repositorio, agregó archivos .gitignore y .npmignore al compromiso del "final del juego" para excluir archivos del proyecto y reemplazó el contenido del archivo README con la pregunta "¿Qué le pasó realmente a Aaron Swartz?". Los problemas están presentes en las versiones Colors 1.4.1+ y Faker 6.6.6.
En respuesta a estas acciones, GitHub bloqueó el acceso de Marak a sus repositorios (90 públicos + varios privados) y NPM revirtió la versión maliciosa del paquete. Al mismo tiempo, la legalidad de las acciones de GitHub plantea dudas, ya que la eliminación de código por parte de un desarrollador de uno de sus repositorios no puede considerarse una violación de las reglas del servicio. Además, el texto de la licencia para los paquetes de colores y falsificadores establece claramente que no existen garantías ni obligaciones con respecto a la funcionalidad del código.
Curiosamente, la primera advertencia sobre el cese del desarrollo se publicó hace más de un año. En septiembre de 2020, Marak perdió todas sus propiedades debido a un incendio, tras lo cual, a principios de noviembre, en forma de ultimátum, pidió a las empresas comerciales que utilizaran sus proyectos para financiar la continuación del desarrollo; de lo contrario, prometió dejar de apoyarlo. ya que ya no tiene intención de trabajar gratis. Antes del incidente, la última versión de Colors se lanzó hace dos años y Faker se lanzó hace 9 meses.
En cuanto a sus motivos para realizar cambios destructivos en los paquetes, Marak probablemente esté intentando dar una lección a las corporaciones que se benefician del trabajo de la comunidad del software libre sin dar nada a cambio, o llamar la atención para repensar las circunstancias de la muerte de Aarón Swartz. Aaron se suicidó después de que se le iniciara una causa penal relacionada con la copia de artículos científicos de la base de datos paga JSTOR, defendiendo la idea de brindar acceso gratuito a publicaciones científicas. Aaron fue acusado de fraude informático y obtención ilegal de información de un ordenador protegido, cuya pena máxima era 50 años de prisión y una multa de un millón de dólares (si se llegaba a un acuerdo judicial y se admitían los cargos, Aaron tendría que cumplir condena). 6 meses de prisión).
Se cree que Aaron, en medio de la depresión, no pudo soportar la presión del sistema judicial y la injusticia de los cargos presentados (se enfrentaba a 50 años de prisión sólo por descargar el contenido de una base de datos de artículos científicos, que en su opinión debe distribuirse sin restricciones). Marak Squires, en una pregunta sobre la muerte de Aaron publicada en lugar de un código eliminado y en una publicación en Twitter, insinúa una teoría de conspiración no confirmada, según la cual Aaron Swartz encontró algunos documentos en los archivos del MIT que desacreditaban a ciertas personas importantes, y fue asesinado por ello, disfrazando la venida como un suicidio (mañana se cumplirán 9 años desde que Aarón falleció).
Fuente: opennet.ru