Marak Squires, auteur des packages populaires colours (colorisation de la console node.js) et faker (faux générateur de données pour les champs de saisie), avec 2.8 millions et 25 millions de téléchargements hebdomadaires, a publié de nouvelles versions de ses produits dans le référentiel NPM et sur GitHub. , y compris des changements destructeurs qui conduisent délibérément à des échecs au stade de l'assemblage et de l'exécution des projets dépendants. à la suite des actions de Marak, le travail de nombreux projets, y compris AWS CDK, utilisant les bibliothÚques spécifiées a été perturbé - la bibliothÚque de couleurs est utilisée comme dépendance dans 18953 2571 projets et faker dans XNUMX XNUMX.
Dans le code de la bibliothÚque "colors", la sortie console du texte "LIBERTY LIBERTY LIBERTY" et une boucle infinie ont été ajoutées, bloquant le travail des projets dépendants et produisant un flux de mots déformés "tesing". La fausse bibliothÚque a supprimé le contenu du référentiel, ajouté les fichiers .gitignore et .npmignore au commit "endgame" pour exclure les fichiers du projet et remplacé le contenu du fichier README par la question "Qu'est-il réellement arrivé à Aaron Swartz". Des problÚmes sont présents dans les versions colours 1.4.1+ et faker 6.6.6.
En rĂ©ponse Ă ces actions, GitHub a bloquĂ© lâaccĂšs de Marak Ă ses rĂ©fĂ©rentiels (90 publics + plusieurs privĂ©s), et NPM a annulĂ© la version malveillante du package. Dans le mĂȘme temps, la lĂ©galitĂ© des actions de GitHub soulĂšve des questions, puisque la suppression de code par un dĂ©veloppeur de lâun de ses rĂ©fĂ©rentiels ne peut ĂȘtre considĂ©rĂ©e comme une violation des rĂšgles du service. De plus, le texte de licence pour les couleurs et les packages de contrefaçon indique clairement qu'il n'y a aucune garantie ou obligation concernant la fonctionnalitĂ© du code.
Il est intĂ©ressant de noter que le premier avertissement concernant lâarrĂȘt du dĂ©veloppement a Ă©tĂ© publiĂ© il y a plus dâun an. En septembre 2020, Marak a perdu tous ses biens Ă cause d'un incendie, aprĂšs quoi dĂ©but novembre, sous la forme d'un ultimatum, il a fait appel aux sociĂ©tĂ©s commerciales utilisant ses projets pour financer la poursuite du dĂ©veloppement, faute de quoi il a promis de cesser de le soutenir, puisqu'il n'a plus l'intention de travailler gratuitement. Avant l 'incident, la derniĂšre version de Colours avait Ă©tĂ© publiĂ©e il y a deux ans et la version Faker avait Ă©tĂ© publiĂ©e il y a neuf mois.
Quant aux raisons qui l'ont poussé à apporter des modifications destructrices aux paquets, Marak essaie probablement de donner une leçon aux entreprises qui bénéficient du travail de la communauté du logiciel libre sans rien rendre en retour, ou d'attirer l'attention sur la nécessité de repenser les circonstances de la mort de Aaron Swartz. Aaron s'est suicidé aprÚs qu'une affaire pénale ait été engagée contre lui pour avoir copié des articles scientifiques de la base de données payante JSTOR, défendant l'idée de fournir un accÚs gratuit aux publications scientifiques. Aaron a été accusé de fraude informatique et d'obtention illégale d'informations à partir d'un ordinateur protégé, passible d'une peine maximale de 50 ans de prison et d'une amende d'un million de dollars (si un accord judiciaire était conclu et que les accusations étaient admises, Aaron devrait purger une peine de prison). 6 mois de prison).
On pense qu'Aaron, en pleine dĂ©pression, n'a pas pu rĂ©sister Ă la pression du systĂšme judiciaire et Ă l'injustice des accusations portĂ©es (il risquait 50 ans de prison simplement pour avoir tĂ©lĂ©chargĂ© le contenu d'une base de donnĂ©es d'articles scientifiques, ce qui, selon lui, doit ĂȘtre distribuĂ© sans restrictions). Marak Squires, dans une question sur la mort d'Aaron publiĂ©e au lieu d'un code supprimĂ© et dans un message sur Twitter, fait allusion Ă une thĂ©orie du complot non confirmĂ©e, selon laquelle Aaron Swartz aurait trouvĂ© des documents dans les archives du MIT qui discrĂ©ditaient certaines personnes importantes, et il aurait Ă©tĂ© tuĂ© pour cela, dĂ©guisant sa venue en suicide (demain, cela fera 9 ans qu'Aaron est dĂ©cĂ©dĂ©).
Source: opennet.ru
