Marak Squires-ը, հանրահայտ գույների (node.js կոնսոլի գունավորում) և կեղծ (կեղծ տվյալների գեներատոր մուտքային դաշտերի համար) փաթեթների հեղինակ, շաբաթական 2.8 միլիոն և 25 միլիոն ներբեռնումներով, տեղադրել է իր արտադրանքի նոր տարբերակները NPM պահոցում և GitHub-ում։ , ներառյալ կործանարար փոփոխությունները, որոնք նպատակաուղղված հանգեցնում են խափանումների հավաքման և կախյալ նախագծերի իրականացման փուլում: Marak-ի գործողությունների արդյունքում խափանվեց բազմաթիվ նախագծերի աշխատանքը, այդ թվում՝ AWS CDK-ն, օգտագործելով նշված գրադարանները. գույների գրադարանն օգտագործվում է որպես կախվածություն 18953 նախագծերում, իսկ կեղծը՝ 2571:
«Գույների» գրադարանի կոդում ավելացվել են «LIBERTY LIBERTY LIBERTY» տեքստի վահանակի ելքը և անսահման հանգույց՝ արգելափակելով կախյալ նախագծերի աշխատանքը և դուրս բերելով աղավաղված բառերի հոսք «tesing»: Կեղծ գրադարանը հեռացրեց պահեստի բովանդակությունը, ավելացրեց .gitignore և .npmignore ֆայլեր «endgame» կոմիտում` նախագծի ֆայլերը բացառելու համար, և README ֆայլի բովանդակությունը փոխարինեց «Ի՞նչ է իրականում տեղի ունեցել Ահարոն Սվարցի հետ» հարցով: Խնդիրները առկա են 1.4.1+ և կեղծ 6.6.6 տարբերակներում:
Ի պատասխան այս գործողությունների՝ GitHub-ն արգելափակեց Marak-ի մուտքը դեպի իր պահոցներ (90 հանրային + մի քանի մասնավոր), իսկ NPM-ը հետ դարձրեց փաթեթի վնասակար տարբերակը։ Միևնույն ժամանակ, GitHub-ի գործողությունների օրինականությունը հարցեր է առաջացնում, քանի որ ծրագրավորողի կողմից իր պահեստներից մեկից կոդ հեռացնելը չի կարող համարվել ծառայության կանոնների խախտում: Ավելին, գույների և կեղծ փաթեթների լիցենզիայի տեքստում հստակ նշված է, որ ծածկագրի գործունակության հետ կապված երաշխիքներ կամ պարտավորություններ չկան:
Հետաքրքիր է, որ զարգացման դադարեցման մասին առաջին նախազգուշացումը հրապարակվել է ավելի քան մեկ տարի առաջ։ 2020 թվականի սեպտեմբերին Մարակը հրդեհի պատճառով կորցրեց իր ողջ ունեցվածքը, որից հետո նոյեմբերի սկզբին վերջնագրի տեսքով կոչ արեց առևտրային ընկերություններին, օգտագործելով իր նախագծերը՝ ֆինանսավորել զարգացման շարունակությունը, հակառակ դեպքում խոստացավ դադարեցնել իրեն աջակցելը։ քանի որ նա այլեւս մտադիր չէ անվճար աշխատել։ Մինչ միջադեպը գույների վերջին տարբերակը թողարկվել էր երկու տարի առաջ, իսկ faker-ը՝ 9 ամիս առաջ։
Ինչ վերաբերում է փաթեթներում կործանարար փոփոխություններ կատարելու իր դրդապատճառներին, ապա Մարակը, հավանաբար, փորձում է դաս տալ կորպորացիաներին, որոնք օգուտ են քաղում ազատ ծրագրային ապահովման համայնքի աշխատանքից՝ դրա դիմաց ոչինչ չտալով, կամ ուշադրություն հրավիրել մահվան հանգամանքների վերաիմաստավորման վրա։ Ահարոն Սվարց. Ահարոնն ինքնասպան է եղել այն բանից հետո, երբ նրա դեմ քրեական գործ է հարուցվել՝ կապված JSTOR վճարովի տվյալների բազայից գիտական հոդվածների պատճենման հետ՝ պաշտպանելով գիտական հրապարակումներին անվճար մուտք ապահովելու գաղափարը։ Ահարոնին մեղադրանք է առաջադրվել համակարգչային խարդախության և պաշտպանված համակարգչից ապօրինի տեղեկատվություն ստանալու մեջ, որի առավելագույն պատիժը 50 տարվա ազատազրկումն էր և մեկ միլիոն դոլար տուգանք (եթե դատարանի համաձայնությունը ձեռք բերվեր և մեղադրանքը ընդունվեր, Ահարոնը պետք է կրեր 6 ամիս ազատազրկում):
Ենթադրվում է, որ Ահարոնը, դեպրեսիայի պայմաններում, չի կարողացել դիմակայել դատական համակարգի ճնշմանը և առաջադրված մեղադրանքների անարդարությանը (նրան 50 տարվա ազատազրկում էր սպառնում միայն գիտական հոդվածների բազայի բովանդակությունը ներբեռնելու համար, ինչը նրա կարծիքով. պետք է բաշխվի առանց սահմանափակումների): Մարակ Սքուայրսը, Ջնջված կոդի փոխարեն և Twitter-ում տեղադրված գրառման մեջ Ահարոնի մահվան մասին հարցին ակնարկում է դավադրության չհաստատված տեսություն, ըստ որի Ահարոն Սվարցը MIT-ի արխիվներում գտել է որոշ փաստաթղթեր, որոնք վարկաբեկում են որոշ կարևոր մարդկանց, և նա սպանվել է դրա համար, գալիքը քողարկելով որպես ինքնասպանություն (վաղը կլրանա Ահարոնի մահից 9 տարի):
Source: opennet.ru