Marak Squires, auteur van de populaire kleuren (node.js console-inkleuring) en faker (nepgegevensgenerator voor invoervelden) pakketten, met 2.8 miljoen en 25 miljoen wekelijkse downloads, heeft nieuwe versies van zijn producten in de NPM-repository en op GitHub geplaatst , inclusief destructieve veranderingen die doelbewust leiden tot mislukkingen in de fase van montage en uitvoering van afhankelijke projecten. Als resultaat van de acties van Marak werd het werk van veel projecten, waaronder AWS CDK, die de gespecificeerde bibliotheken gebruikten, verstoord: de kleurenbibliotheek wordt gebruikt als afhankelijkheid in 18953 projecten en faker wordt gebruikt in 2571.
In de bibliotheekcode "kleuren" werden console-uitvoer van de tekst "LIBERTY LIBERTY LIBERTY" en een oneindige lus toegevoegd, waardoor het werk van afhankelijke projecten werd geblokkeerd en een stroom vervormde woorden "tesing" werd uitgevoerd. De faker-bibliotheek verwijderde de inhoud van de repository, voegde .gitignore- en .npmignore-bestanden toe aan de "endgame" commit om projectbestanden uit te sluiten, en verving de inhoud van het README-bestand door de vraag "Wat er werkelijk met Aaron Swartz is gebeurd." Er zijn problemen aanwezig in de versies kleuren 1.4.1+ en faker 6.6.6.
Als reactie op deze acties blokkeerde GitHub de toegang van Marak tot zijn repository's (90 publieke + verschillende private) en draaide NPM de kwaadaardige versie van het pakket terug. Tegelijkertijd roept de wettigheid van de acties van GitHub vragen op, aangezien het verwijderen van code door een ontwikkelaar uit een van zijn repositories niet als een schending van de regels van de dienst kan worden beschouwd. Bovendien vermeldt de licentietekst voor de kleuren en fakerpakketten duidelijk dat er geen garanties of verplichtingen zijn met betrekking tot de functionaliteit van de code.
Interessant is dat de eerste waarschuwing over het stopzetten van de ontwikkeling meer dan een jaar geleden werd gepubliceerd. In september 2020 verloor Marak al zijn bezittingen door een brand, waarna hij begin november in de vorm van een ultimatum een ββberoep deed op commerciΓ«le bedrijven die zijn projecten gebruikten om de voortzetting van de ontwikkeling te financieren, anders beloofde hij hem niet meer te steunen. omdat hij niet langer van plan is gratis te werken. VΓ³Γ³r het incident werd de nieuwste versie van Colors twee jaar geleden uitgebracht en Faker negen maanden geleden.
Wat zijn motieven voor het aanbrengen van destructieve wijzigingen in pakketten betreft, probeert Marak waarschijnlijk een lesje te leren aan bedrijven die profiteren van het werk van de vrije-softwaregemeenschap zonder er iets voor terug te geven, of om de aandacht te vestigen op het heroverwegen van de omstandigheden van de dood van AÀron Swartz. Aaron pleegde zelfmoord nadat er een strafzaak tegen hem was aangespannen in verband met het kopiëren van wetenschappelijke artikelen uit de betaalde database JSTOR, waarin hij het idee verdedigde om gratis toegang te bieden tot wetenschappelijke publicaties. Aaron werd beschuldigd van computerfraude en het illegaal verkrijgen van informatie van een beschermde computer, met een maximumstraf van 50 jaar gevangenisstraf en een boete van één miljoen dollar (als er een gerechtelijk akkoord werd bereikt en de beschuldigingen werden erkend, zou Aaron een gevangenisstraf moeten uitzitten 6 maanden gevangenisstraf).
Er wordt aangenomen dat Aaron, te midden van een depressie, de druk van het rechtssysteem en de onrechtvaardigheid van de aanklachten niet kon weerstaan ββ(hij riskeerde 50 jaar gevangenisstraf alleen al omdat hij de inhoud van een database met wetenschappelijke artikelen had gedownload, die naar zijn mening moet zonder beperkingen worden verspreid). Marak Squires verwijst in een vraag over de dood van Aaron, geplaatst in plaats van een verwijderde code, en in een bericht op Twitter naar een onbevestigde complottheorie, volgens welke Aaron Swartz enkele documenten in de MIT-archieven vond die bepaalde belangrijke mensen in diskrediet brachten, en hij was daarvoor gedood, de komst vermomd als zelfmoord (morgen is het negen jaar geleden dat Aaron overleed).
Bron: opennet.ru