Marak Squires, suosittujen colors-pakettien (Node.js-konsolin väritystyökalu) ja faker-pakettien (väärennetty datageneraattori syöttökentille) tekijä, joilla on vastaavasti 2.8 miljoonaa ja 25 miljoonaa viikoittaista latausta, julkaisi tuotteistaan uusia versioita NPM-arkistoon ja GitHubiin. Nämä versiot sisältävät tuhoisia muutoksia, jotka aiheuttavat tarkoituksella käännös- ja suoritusaikaongelmia riippuvaisissa projekteissa. Marakin toimet rikkoivat monia projekteja, mukaan lukien AWS CDK:n, jotka käyttävät näitä kirjastoja. Colors-kirjastoa käyttää riippuvuutena 18 953 projektia ja faker-kirjastoa 2 571 projektia.
"colors"-kirjaston koodia päivitettiin konsolin tulosteella tekstillä "LIBERTY LIBERTY LIBERTY" ja loputtomalla silmukalla, joka estää riippuvaiset projektit ja tuottaa virran sekavia sanoja, kuten "tesing". Faker-kirjaston arkiston sisältö poistettiin, .gitignore- ja .npmignore-tiedostot lisättiin "endgame"-commit-tiedostoon projektitiedostojen poissulkemiseksi, ja README-tiedosto korvattiin kysymyksellä "Mitä Aaron Swartzille oikein tapahtui". Ongelmia esiintyy colors 1.4.1+ -versioissa ja faker 6.6.6 -versiossa.
Vastauksena näihin toimiin GitHub esti Marakin pääsyn sen repositorioihin (90 julkista ja useita yksityisiä), ja NPM poisti paketin haitallisen version. GitHubin toimien laillisuus herättää kuitenkin kysymyksiä, sillä kehittäjän koodin poistamista jostakin sen repositorioista ei voida pitää sen palveluehtojen rikkomisena. Lisäksi väri- ja väärennettyjen pakettien lisenssisopimuksissa todetaan selvästi, ettei koodin toiminnallisuuteen liittyen ole takuita tai velvoitteita.
Mielenkiintoista kyllä, ensimmäinen varoitus kehityksen lopettamisesta julkaistiin yli vuosi sitten. Syyskuussa 2020 Marak menetti kaikki omaisuutensa tulipalossa, minkä jälkeen hän marraskuun alussa esitti uhkavaatimuksen kaupallisille yrityksille, jotka käyttäisivät projektejaan jatkuvan kehityksen rahoittamiseen. Muussa tapauksessa hän lupasi lopettaa tuen, koska hän ei enää aikonut työskennellä ilmaiseksi. Ennen tapausta Colorsin uusin versio julkaistiin kaksi vuotta sitten ja Fakerin yhdeksän kuukautta sitten.
Paketteihin tehtyjen tuhoisien muutosten motiivien osalta Marak todennäköisesti yrittää opettaa läksyn yrityksille, jotka hyödyntävät vapaiden ohjelmistojen yhteisön työtä antamatta mitään vastineeksi, tai kiinnittää huomiota Aaron Swartzin kuolemaan liittyviin olosuhteisiin. Aaron teki itsemurhan saatuaan syytteet tieteellisten artikkelien kopioimisesta maksullisesta JSTOR-tietokannasta ja tieteellisten julkaisujen vapaan saatavuuden puolustamisesta. Aaronia syytettiin tietokonepetoksesta ja tietojen laittomasta hankkimisesta suojatulta tietokoneelta, josta maksimirangaistus oli 50 vuotta vankeutta ja miljoonan dollarin sakko (jos hän olisi myöntänyt syyllisyytensä, hän olisi istunut kuusi kuukautta).
Uskotaan, että masennuksesta kärsivä Aaron antoi periksi oikeusjärjestelmän paineelle ja häntä vastaan nostettujen syytteiden epäoikeudenmukaisuudelle (häntä uhkasi 50 vuoden vankeustuomio pelkästään tieteellisten artikkelien tietokannan sisällön lataamisesta, vaikka hänen mielestään tietokannan tulisi olla jaettavissa rajoituksetta). Poistetun koodin tilalla julkaistussa Aaronin kuolemaa koskevassa kysymyksessä ja Twitter-viestissä Marak Squires vihjaa vahvistamattomaan salaliittoteoriaan, jonka mukaan Aaron Swartz löysi MIT:n arkistoista asiakirjoja, jotka kyseenalaistivat tiettyjen tärkeiden henkilöiden uskottavuuden, ja hänet murhattiin tämän vuoksi naamioiden kuoleman itsemurhaksi (huomenna tulee kuluneeksi yhdeksän vuotta Aaronin kuolemasta).
Lähde: opennet.ru
