Marak Squires, a népszerű színek (node.js konzolszínezés) és faker (hamis adatgenerátor a beviteli mezőkhöz) csomagok szerzője, heti 2.8 millió és 25 millió letöltéssel termékei új verzióit tette közzé az NPM-tárban és a GitHubon. , beleértve a destruktív változásokat, amelyek szándékosan kudarcokhoz vezetnek a függő projektek összeszerelése és végrehajtása szakaszában. Marak akciói következtében számos, a megadott könyvtárakat használó projekt, köztük az AWS CDK munkája megszakadt – a színkönyvtárat 18953 2571 projektben használják függőségként, a fakert pedig XNUMX XNUMX projektben.
A "colors" könyvtárkódban a "LIBERTY LIBERTY LIBERTY" szöveg konzolkimenete és egy végtelen ciklus került hozzáadásra, blokkolva a függő projektek munkáját, és torzított "tesing" szófolyamot adva ki. A hamiskönyvtár eltávolította a tároló tartalmát, hozzáadta a .gitignore és .npmignore fájlokat az "endgame" kötelezettségvállaláshoz, hogy kizárja a projektfájlokat, és a README fájl tartalmát a "Mi történt valójában Aaron Swartzcal" kérdéssel. Problémák vannak a color 1.4.1+ és a faker 6.6.6 verziókban.
Ezekre a műveletekre válaszul a GitHub blokkolta Marak hozzáférését a tárolóihoz (90 nyilvános + több privát), és az NPM visszaállította a csomag rosszindulatú verzióját. Ugyanakkor kérdéseket vet fel a GitHub akcióinak jogszerűsége, hiszen az, hogy a fejlesztő eltávolítja a kódot valamelyik tárolójából, nem tekinthető a szolgáltatás szabályainak megsértésének. Sőt, a színekre és a hamisított csomagokra vonatkozó licencszöveg egyértelműen kimondja, hogy a kód funkcionalitására nincs garancia vagy kötelezettség.
Érdekes módon az első figyelmeztetés a fejlesztés leállásáról több mint egy éve jelent meg. Marak 2020 szeptemberében tűzvész következtében minden vagyonát elveszítette, ezt követően november elején ultimátum formájában a projektjeit felhasználva kereskedelmi cégeket szólított fel a fejlesztés folytatásának finanszírozására, ellenkező esetben megígérte, hogy felhagy a támogatásával, mivel már nem szándékozik ingyen dolgozni. Az incidens előtt a színek legújabb verziója két éve, a faker pedig 9 hónapja jelent meg.
Ami a csomagok romboló megváltoztatásának indítékait illeti, Marak valószínűleg megpróbálja leckét adni azoknak a vállalatoknak, amelyek profitálnak a szabad szoftverközösség munkájából anélkül, hogy bármit is visszaadnának cserébe, vagy felhívni a figyelmet a halál körülményeinek újragondolására. Aaron Swartz. Aaron öngyilkos lett, miután büntetőeljárás indult ellene a JSTOR fizetős adatbázisból tudományos cikkek másolásával kapcsolatban, védve a tudományos publikációkhoz való ingyenes hozzáférést. Áront számítógépes csalással és védett számítógépről való illegális információszerzéssel vádolták, amiért a maximális büntetés 50 év börtön és egymillió dolláros pénzbírság volt (amennyiben a bírósági megállapodás születik, és a vádakat elismerik, Aaronnak le kellene töltenie 6 hónap börtön).
Úgy gondolják, hogy Aaron a depresszió közepette nem tudott ellenállni az igazságszolgáltatás nyomásának és a felhozott vádak igazságtalanságának (50 év börtönt kapott, mert letöltötte egy tudományos cikkek adatbázisának tartalmát, ami véleménye szerint korlátozás nélkül kell terjeszteni). Marak Squires az Aaron halálával kapcsolatos, törölt kód helyett közzétett kérdésében és a Twitteren közzétett bejegyzésében egy meg nem erősített összeesküvés-elméletre utal, amely szerint Aaron Swartz az MIT archívumában talált néhány olyan dokumentumot, amely hiteltelenné tette bizonyos fontos személyeket, és megölték érte. az eljövetelt öngyilkosságnak álcázva (holnap lesz 9 éve, hogy Aaron elhunyt).
Forrás: opennet.ru