Marak Squires, autore dei popolari pacchetti Colors (colorazione della console node.js) e Faker (falso generatore di dati per campi di input), con 2.8 milioni e 25 milioni di download settimanali, ha pubblicato nuove versioni dei suoi prodotti nel repository NPM e su GitHub , comprese modifiche distruttive che portano intenzionalmente a fallimenti nella fase di assemblaggio ed esecuzione di progetti dipendenti. Come risultato delle azioni di Marak, il lavoro di molti progetti, incluso AWS CDK, che utilizzano le librerie specificate è stato interrotto: la libreria dei colori viene utilizzata come dipendenza in 18953 progetti e faker viene utilizzato in 2571.
Nel codice della libreria "colors", sono stati aggiunti l'output sulla console del testo "LIBERTY LIBERTY LIBERTY" e un ciclo infinito, che blocca il lavoro dei progetti dipendenti e produce un flusso di parole distorte "tesing". La libreria falsa ha rimosso il contenuto del repository, ha aggiunto i file .gitignore e .npmignore al commit "endgame" per escludere i file di progetto e ha sostituito il contenuto del file README con la domanda "Che cosa è realmente successo ad Aaron Swartz". I problemi sono presenti nelle versioni colori 1.4.1+ e faker 6.6.6.
In risposta a queste azioni, GitHub ha bloccato l’accesso di Marak ai suoi repository (90 pubblici + diversi privati) e NPM ha ripristinato la versione dannosa del pacchetto. Allo stesso tempo, la legalità delle azioni di GitHub solleva dubbi, poiché la rimozione del codice da parte di uno sviluppatore da uno dei suoi repository non può essere considerata una violazione delle regole del servizio. Inoltre, il testo della licenza per i colori e i pacchetti contraffatti afferma chiaramente che non esistono garanzie o obblighi riguardo alla funzionalità del codice.
È interessante notare che il primo avvertimento sulla cessazione dello sviluppo è stato pubblicato più di un anno fa. Nel settembre 2020 Marak ha perso tutte le sue proprietà a causa di un incendio, dopodiché all'inizio di novembre, sotto forma di ultimatum, ha invitato le società commerciali che utilizzano i suoi progetti a finanziare la continuazione dello sviluppo, altrimenti ha promesso di smettere di sostenerlo, poiché non intende più lavorare gratuitamente. Prima dell'incidente, l'ultima versione di Colors era stata rilasciata due anni fa, mentre Faker era stata rilasciata 9 mesi fa.
Per quanto riguarda le motivazioni che lo spingono ad apportare modifiche distruttive ai pacchetti, Marak sta probabilmente cercando di dare una lezione alle aziende che traggono vantaggio dal lavoro della comunità del software libero senza dare nulla in cambio, o di attirare l'attenzione sul ripensamento delle circostanze della morte di Aaron Swartz. Aaron si è suicidato dopo che contro di lui è stato avviato un procedimento penale relativo alla copia di articoli scientifici dal database a pagamento JSTOR, difendendo l'idea di fornire accesso gratuito alle pubblicazioni scientifiche. Aaron è stato accusato di frode informatica e di acquisizione illegale di informazioni da un computer protetto, la cui pena massima era di 50 anni di carcere e una multa di un milione di dollari (se fosse stato raggiunto un accordo del tribunale e le accuse fossero state ammesse, Aaron avrebbe dovuto scontare 6 mesi di carcere).
Si ritiene che Aaron, in preda alla depressione, non abbia resistito alla pressione del sistema giudiziario e all'ingiustizia delle accuse mosse (rischiava 50 anni di carcere solo per aver scaricato il contenuto di un database di articoli scientifici, che a suo avviso dovrebbero essere distribuiti senza restrizioni). Marak Squires, in una domanda sulla morte di Aaron postata al posto di un codice cancellato e in un post su Twitter, allude ad una teoria del complotto non confermata, secondo la quale Aaron Swartz avrebbe trovato negli archivi del MIT alcuni documenti che screditavano alcune persone importanti, e sarebbe stato ucciso per questo, mascherando l'avvento come suicidio (domani saranno 9 anni dalla morte di Aaron).
Fonte: opennet.ru