Marak Squires، نویسنده بستههای رنگهای محبوب (رنگبندی کنسول node.js) و جعلی (مولد دادههای جعلی برای فیلدهای ورودی)، با ۲.۸ میلیون و ۲۵ میلیون بارگیری در هفته، نسخههای جدید محصولات خود را در مخزن NPM و در GitHub قرار داده است. از جمله تغییرات مخربی که به طور هدفمند منجر به شکست در مرحله مونتاژ و اجرای پروژه های وابسته می شود. در نتیجه اقدامات Marak، کار بسیاری از پروژهها، از جمله AWS CDK، با استفاده از کتابخانههای مشخص شده مختل شد - کتابخانه رنگها به عنوان وابستگی در 2.8 پروژه و faker در 25 پروژه استفاده شده است.
در کد کتابخانه "colors"، خروجی کنسول متن "LIBERTY LIBERTY LIBERTY" و یک حلقه بی نهایت اضافه شد که مانع از کار پروژه های وابسته و خروجی جریانی از کلمات تحریف شده "tesing" شد. کتابخانه جعلی محتویات مخزن را حذف کرد، فایلهای .gitignore و .npmignore را به commit «endgame» اضافه کرد تا فایلهای پروژه را حذف کند، و محتوای فایل README را با سؤال «واقعاً چه اتفاقی برای آرون سوارتز افتاد» جایگزین کرد. مشکلات در رنگ های نسخه 1.4.1+ و جعلی 6.6.6 وجود دارد.
در پاسخ به این اقدامات، GitHub دسترسی Marak را به مخازن خود مسدود کرد (90 عمومی + چندین خصوصی)، و NPM نسخه مخرب بسته را پس گرفت. در عین حال، قانونی بودن اقدامات GitHub سوالاتی را ایجاد می کند، زیرا حذف کد توسط یک توسعه دهنده از یکی از مخازن آن نمی تواند نقض قوانین سرویس تلقی شود. علاوه بر این، متن مجوز برای رنگ ها و بسته های جعلی به وضوح بیان می کند که هیچ ضمانت یا تعهدی در مورد عملکرد کد وجود ندارد.
جالب اینجاست که اولین هشدار درباره توقف توسعه بیش از یک سال پیش منتشر شد. در سپتامبر 2020، ماراک تمام دارایی خود را به دلیل آتش سوزی از دست داد، پس از آن در اوایل نوامبر، در قالب اولتیماتوم، از شرکت های تجاری خواست که از پروژه های او برای تامین مالی ادامه توسعه استفاده کنند، در غیر این صورت قول داد که از او حمایت نخواهد کرد. چون دیگر قصد ندارد مجانی کار کند. قبل از این اتفاق، آخرین نسخه رنگ ها دو سال پیش و Faker 9 ماه پیش منتشر شد.
در مورد انگیزههای خود برای ایجاد تغییرات مخرب در بستهها، Marak احتمالاً سعی میکند درسی به شرکتهایی بدهد که از کار جامعه نرمافزار آزاد سود میبرند بدون اینکه در ازای آن چیزی پس بدهند، یا توجه را به بازنگری در شرایط مرگ جلب کند. آرون سوارتز آرون پس از طرح یک پرونده جنایی در رابطه با کپی کردن مقالات علمی از پایگاه داده پولی JSTOR، با دفاع از ایده دسترسی رایگان به انتشارات علمی، خودکشی کرد. آرون به کلاهبرداری رایانه ای و به دست آوردن غیرقانونی اطلاعات از یک رایانه محافظت شده متهم شد که حداکثر مجازات آن 50 سال زندان و جریمه یک میلیون دلاری بود (در صورت توافق دادگاه و پذیرفتن اتهامات، هارون باید تحمل می کرد. 6 ماه زندان).
اعتقاد بر این است که هارون در میان افسردگی نتوانست فشار سیستم قضایی و بی عدالتی اتهامات مطرح شده را تحمل کند (او فقط به دلیل دانلود محتوای یک پایگاه داده از مقالات علمی که به نظر او با 50 سال زندان روبرو بود. باید بدون محدودیت توزیع شود). مارک اسکوایرز در سوالی درباره مرگ آرون که به جای کد حذف شده پست شده و در پستی در توییتر به یک تئوری توطئه تایید نشده اشاره می کند که بر اساس آن آرون سوارتز اسنادی را در آرشیو MIT پیدا کرده است که افراد مهمی را بدنام کرده است و او برای آن کشته شد. آمدن را به عنوان خودکشی مبدل کرد (فردا 9 سال از مرگ هارون می گذرد).
منبع: opennet.ru