Maraks Squires, populāro krāsu (node.js konsoles krāsošana) un faker (viltus datu ģenerators ievades laukiem) pakotņu autors ar 2.8 miljoniem un 25 miljoniem nedēļas lejupielāžu, ir ievietojis jaunas savu produktu versijas NPM repozitorijā un vietnē GitHub. , tai skaitā destruktīvas izmaiņas, kas mērķtiecīgi noved pie neveiksmēm atkarīgo projektu montāžas un izpildes stadijā. Maraka darbību rezultātā tika traucēts daudzu projektu, tostarp AWS CDK, darbs, izmantojot norādītās bibliotēkas - krāsu bibliotēka kā atkarība tiek izmantota 18953 2571 projektos, bet viltojums - XNUMX XNUMX projektos.
"Krāsu" bibliotēkas kodā tika pievienota teksta "LIBERTY LIBERTY LIBERTY" konsoles izvade un bezgalīga cilpa, bloķējot atkarīgo projektu darbu un izvadot izkropļotu vārdu plūsmu "tesing". Viltus bibliotēka noņēma repozitorija saturu, pievienoja .gitignore un .npmignore failus "endgame" apņemšanās izslēgt projekta failus un aizstāja README faila saturu ar jautājumu "Kas īsti notika ar Āronu Svarcu". Problēmas ir versijās Colors 1.4.1+ un faker 6.6.6.
Reaģējot uz šīm darbībām, GitHub bloķēja Marak piekļuvi saviem krātuvēm (90 publiskiem + vairākiem privātiem), un NPM atcēla pakotnes ļaunprātīgo versiju. Tajā pašā laikā GitHub darbību likumība rada jautājumus, jo izstrādātāja koda izņemšanu no viena no tā krātuvēm nevar uzskatīt par pakalpojuma noteikumu pārkāpumu. Turklāt krāsu un viltotu iepakojumu licences tekstā ir skaidri norādīts, ka nav nekādu garantiju vai saistību attiecībā uz koda funkcionalitāti.
Interesanti, ka pirmais brīdinājums par izstrādes pārtraukšanu tika publicēts vairāk nekā pirms gada. 2020. gada septembrī Maraks ugunsgrēka dēļ zaudēja visu savu īpašumu, pēc kā novembra sākumā ultimāta veidā aicināja komercsabiedrības, izmantojot viņa projektus, finansēt attīstības turpināšanu, pretējā gadījumā solīja pārtraukt viņu atbalstīt, jo viņš vairs nedomā strādāt par velti. Pirms incidenta jaunākā krāsu versija tika izlaista pirms diviem gadiem, un faker tika izlaista pirms 9 mēnešiem.
Kas attiecas uz viņa motīviem, lai veiktu destruktīvas izmaiņas pakotnēs, Maraks, visticamāk, mēģina mācīt korporācijām, kuras gūst labumu no brīvās programmatūras kopienas darba, neko nedodot pretī, vai arī pievērst uzmanību uzņēmuma nāves apstākļu pārdomāšanai. Ārons Svarcs. Ārons izdarīja pašnāvību pēc tam, kad pret viņu tika ierosināta krimināllieta saistībā ar zinātnisku rakstu kopēšanu no maksas datubāzes JSTOR, aizstāvot ideju nodrošināt bezmaksas piekļuvi zinātniskām publikācijām. Āronam tika izvirzītas apsūdzības par datorkrāpšanu un nelikumīgu informācijas iegūšanu no aizsargāta datora, par ko maksimālais sods bija 50 gadi cietumā un naudas sods viena miljona dolāru apmērā (ja tiks panākta tiesas vienošanās un apsūdzības tiktu atzītas, Āronam būtu jāizcieš 6 mēneši cietumā).
Tiek uzskatīts, ka Ārons depresijas apstākļos nespēja izturēt tiesu sistēmas spiedienu un izvirzīto apsūdzību netaisnību (viņam draudēja 50 gadu cietumsods tikai par zinātnisko rakstu datu bāzes satura lejupielādi, kas, viņaprāt, jāizplata bez ierobežojumiem). Maraks Skvairs dzēstā koda vietā ievietotajā jautājumā par Ārona nāvi un ierakstā Twitter dod mājienu uz neapstiprinātu sazvērestības teoriju, saskaņā ar kuru Ārons Svarcs MIT arhīvos atrada dažus dokumentus, kas diskreditēja noteiktas svarīgas personas, un viņš bija nogalināts par to, maskējot atnākšanu kā pašnāvību (rīt būs 9 gadi kopš Ārona nāves).
Avots: opennet.ru
