Marak Squires, forfatter av de populære pakkene for farger (node.js-konsollfarging) og falske (falske datagenerator for inndatafelt), med 2.8 millioner og 25 millioner ukentlige nedlastinger, har lagt ut nye versjoner av produktene sine i NPM-lageret og på GitHub , inkludert destruktive endringer som målrettet fører til feil på stadiet av montering og gjennomføring av avhengige prosjekter. Som et resultat av Maraks handlinger ble arbeidet til mange prosjekter, inkludert AWS CDK, ved bruk av de spesifiserte bibliotekene forstyrret - fargebiblioteket brukes som en avhengighet i 18953 2571 prosjekter, og faker brukes i XNUMX XNUMX.
I bibliotekkoden "farger" ble konsollutgang av teksten "LIBERTY LIBERTY LIBERTY" og en uendelig loop lagt til, som blokkerte arbeidet til avhengige prosjekter og sendte ut en strøm av forvrengte ord "tesing". Det falske biblioteket fjernet innholdet i depotet, la til .gitignore- og .npmignore-filer til "endgame"-forpliktelsen for å ekskludere prosjektfiler, og erstattet innholdet i README-filen med spørsmålet "Hva egentlig skjedde med Aaron Swartz." Problemer er tilstede i versjonene fargene 1.4.1+ og faker 6.6.6.
Som svar på disse handlingene blokkerte GitHub Maraks tilgang til depotene sine (90 offentlige + flere private), og NPM rullet tilbake den ondsinnede versjonen av pakken. Samtidig reiser lovligheten av GitHubs handlinger spørsmål, siden fjerning av kode fra en utvikler fra et av depotene ikke kan betraktes som et brudd på tjenestens regler. Dessuten sier lisensteksten for fargene og falske pakkene tydelig at det ikke er noen garantier eller forpliktelser angående funksjonaliteten til koden.
Interessant nok ble den første advarselen om opphør av utvikling publisert for mer enn ett år siden. I september 2020 mistet Marak all eiendom på grunn av en brann, hvoretter han i begynnelsen av november, i form av et ultimatum, ba kommersielle selskaper som bruker prosjektene hans for å finansiere videreutviklingen, ellers lovet han å slutte å støtte ham, siden han ikke lenger har tenkt å jobbe gratis. Før hendelsen ble den siste versjonen av farger utgitt for to år siden, og faker ble utgitt for 9 måneder siden.
Når det gjelder motivene hans for å gjøre destruktive endringer i pakker, prøver Marak sannsynligvis å lære en lekse til selskaper som drar nytte av arbeidet til fri programvaresamfunnet uten å gi noe tilbake i retur, eller å trekke oppmerksomheten til å revurdere omstendighetene rundt dødsfallet til Aaron Swartz. Aaron begikk selvmord etter at det ble reist en straffesak mot ham knyttet til kopiering av vitenskapelige artikler fra den betalte databasen JSTOR, og forsvarte ideen om å gi gratis tilgang til vitenskapelige publikasjoner. Aaron ble siktet for datasvindel og ulovlig innhenting av informasjon fra en beskyttet datamaskin, den høyeste strafferammen var 50 års fengsel og en bot på én million dollar (hvis det ble oppnådd en rettsavtale og anklagene ble innrømmet, måtte Aaron sone 6 måneder i fengsel).
Det antas at Aaron, midt i depresjon, ikke kunne motstå presset fra rettssystemet og urettferdigheten i anklagene som ble fremmet (han sto overfor 50 års fengsel bare for å ha lastet ned innholdet i en database med vitenskapelige artikler, som etter hans mening bør distribueres uten restriksjoner). Marak Squires, i et spørsmål om Aarons død lagt ut i stedet for en slettet kode og i et innlegg på Twitter, antyder en ubekreftet konspirasjonsteori, ifølge hvilken Aaron Swartz fant noen dokumenter i MIT-arkivene som diskrediterte visse viktige personer, og han var drept for det, forkle det komme som selvmord (i morgen er det 9 år siden Aaron døde).
Kilde: opennet.ru