מארק סקוויירס, מחבר החבילות הפופולריות colors (כלי לצביעה של קונסולות Node.js) ו-faker (מחולל נתונים מזויף לשדות קלט), שלהן 2.8 מיליון ו-25 מיליון הורדות שבועיות בהתאמה, פרסם גרסאות חדשות של מוצריו למאגר NPM ול-GitHub. גרסאות אלו מכילות שינויים הרסניים שגורמים במכוון לכשלים בזמן בנייה וזמן ריצה בפרויקטים תלויים. פעולותיו של מארק גרמו לשבירת פרויקטים רבים, כולל AWS CDK, המשתמשים בספריות אלו. ספריית ה-colors משמשת כתלות על ידי 18953 פרויקטים, ו-faker משמשת על ידי 2571.
קוד הספרייה "colors" עודכן עם פלט קונסולה של הטקסט "LIBERTY LIBERTY LIBERTY" ולולאה אינסופית שחוסמת פרויקטים תלויים ומפיקה זרם של מילים משובשות כמו "testing". תוכן המאגר של ספריית המזויפים הוסר, קבצי .gitignore ו-.npmignore נוספו ל-commit של "endgame" כדי לא לכלול קבצי פרויקט, וקובץ ה-README הוחלף בשאלה "מה באמת קרה לאהרון סוורץ". הבעיות קיימות ב-colors 1.4.1+ וב-faker 6.6.6.
בתגובה לפעולות אלו, GitHub חסמה את הגישה של Marak למאגרים שלה (90 ציבוריים וכמה פרטיים), ו-NPM ביטל את הגרסה הזדונית של החבילה. עם זאת, חוקיות פעולות GitHub מעלה שאלות, שכן מפתח שמסיר קוד מאחד המאגרים שלו לא יכול להיחשב כהפרה של תנאי השירות שלה. יתר על כן, הרישיון לחבילות הצבעים והזיוף קובע בבירור כי אין אחריות או התחייבויות בנוגע לפונקציונליות הקוד.
מעניין לציין, שהאזהרה הראשונה על הפסקת הפיתוח פורסמה לפני יותר משנה. בספטמבר 2020, מארק איבד את כל נכסיו בשריפה, ולאחר מכן, בתחילת נובמבר, הוא הציב אולטימטום לחברות מסחריות המשתמשות בפרויקטים שלו למימון המשך הפיתוח, אחרת הוא הבטיח להפסיק את התמיכה, מכיוון שהוא כבר לא מתכוון לעבוד בחינם. לפני התקרית, הגרסה האחרונה של Colors שוחררה לפני שנתיים, ו-Faker לפני תשעה חודשים.
באשר למניעים מאחורי הכנסת שינויים הרסניים לחבילות, מרק כנראה מנסה ללמד לקח לתאגידים שמנצלים את עבודת קהילת התוכנה החופשית מבלי לתת דבר בתמורה, או למשוך תשומת לב לנסיבות מותו של אהרון סוורץ. אהרון התאבד לאחר שהואשם בהעתקת מאמרים מדעיים ממסד הנתונים בתשלום JSTOR, תוך שהוא תומך בגישה חופשית לפרסומים מדעיים. אהרון הואשם בהונאת מחשב ובהשגת מידע באופן בלתי חוקי ממחשב מוגן, דבר שגרר עונש מרבי של 50 שנות מאסר וקנס של מיליון דולר (אם היה מודה באשמה, היה מרצה שישה חודשים).
ההערכה היא שאהרון, שסבל מדיכאון, נכנע ללחץ מערכת המשפט ולחוסר ההגינות של האישומים שהוגשו נגדו (הוא עמד בפני 50 שנות מאסר רק בגלל הורדת תוכן של מאגר מאמרים מדעיים, שלדעתו יש להפיץ ללא הגבלה). בשאלה על מותו של אהרון, שפורסמה במקום הקוד שנמחק, ובפוסט בטוויטר, מרמז מרק סקוויירס על תיאוריית קונספירציה לא מאושרת לפיה אהרון סוורץ מצא מסמכים בארכיון MIT שהכפישו דמויות חשובות מסוימות, ונרצח בשל כך, תוך שהוא מסווה את המוות כהתאבדות (מחר ימלאו תשע שנים למותו של אהרון).
מקור: OpenNet.ru
