Marak Squires, autor dos populares paquetes de cores (colorización da consola node.js) e faker (xerador de datos falsos para campos de entrada), con 2.8 millóns e 25 millóns de descargas semanais, publicou novas versións dos seus produtos no repositorio de NPM e en GitHub. , incluíndo cambios destrutivos que deliberadamente levan a fallos na fase de montaxe e execución de proxectos dependentes. Como resultado das accións de Marak, o traballo de moitos proxectos, incluído AWS CDK, que usaban as bibliotecas especificadas foi interrompido: a biblioteca de cores úsase como dependencia en 18953 proxectos e faker úsase en 2571.
No código da biblioteca "cores", engadíronse a saída da consola do texto "LIBERTY LIBERTY LIBERTY" e un bucle infinito, bloqueando o traballo dos proxectos dependentes e producindo un fluxo de palabras distorsionadas "tesing". A biblioteca falsa eliminou o contido do repositorio, engadiu ficheiros .gitignore e .npmignore ao commit "endgame" para excluír os ficheiros do proxecto e substituíu o contido do ficheiro README coa pregunta "Que lle pasou realmente a Aaron Swartz". Os problemas están presentes nas versións cores 1.4.1+ e faker 6.6.6.
En resposta a estas accións, GitHub bloqueou o acceso de Marak aos seus repositorios (90 públicos + varios privados) e NPM fixo retroceder a versión maliciosa do paquete. Ao mesmo tempo, a legalidade das accións de GitHub suscita dúbidas, xa que a eliminación de código por parte dun programador dun dos seus repositorios non pode considerarse unha violación das regras do servizo. Ademais, o texto da licenza para as cores e os paquetes falsos indica claramente que non hai garantías nin obrigas sobre a funcionalidade do código.
Curiosamente, o primeiro aviso sobre o cesamento do desenvolvemento publicouse hai máis dun ano. En setembro de 2020, Marak perdeu toda a súa propiedade debido a un incendio, tras o cal a principios de novembro, en forma de ultimátum, chamou ás empresas comerciais que utilizasen os seus proxectos para financiar a continuación do desenvolvemento, se non, prometeu deixar de apoialo. xa que xa non pretende traballar gratis. Antes do incidente, a última versión de cores lanzouse hai dous anos, e faker lanzouse hai 9 meses.
En canto aos seus motivos para facer cambios destrutivos nos paquetes, é probable que Marak tente dar unha lección ás corporacións que se benefician do traballo da comunidade de software libre sen devolver nada a cambio, ou chamar a atención para repensar as circunstancias da morte de Aaron Swartz. Aaron suicidouse despois de que se lle presentara un proceso penal relacionado coa copia de artigos científicos da base de datos de pago JSTOR, defendendo a idea de proporcionar acceso gratuíto ás publicacións científicas. Aarón foi acusado de fraude informático e de obtención ilegal de información dun ordenador protexido, cuxa pena máxima era de 50 anos de prisión e unha multa dun millón de dólares (se se chegaba a un acordo xudicial e se admitían os cargos, Aaron tería que cumprir. 6 meses de prisión).
Crese que Aarón, no medio da depresión, non puido resistir a presión do sistema xudicial e a inxustiza dos cargos presentados (enfróntase a 50 anos de cárcere só por descargar o contido dunha base de datos de artigos científicos, que ao seu xuízo). deben ser distribuídos sen restricións). Marak Squires, nunha pregunta sobre a morte de Aaron publicada en lugar dun código borrado e nunha publicación en Twitter, insinúa unha teoría de conspiración non confirmada, segundo a cal Aaron Swartz atopou uns documentos nos arquivos do MIT que desacreditaban a certas persoas importantes, e foi asasinado por iso.disfrazando a chegada de suicidio (mañá cumpriranse 9 anos do falecemento de Aarón).
Fonte: opennet.ru