Marak Squires, autor popularnych pakietów color (koloryzacja konsoli node.js) i faker (fałszywy generator danych dla pól wejściowych), z 2.8 milionami i 25 milionami pobrań tygodniowo, umieścił nowe wersje swoich produktów w repozytorium NPM i na GitHubie , w tym zmiany destrukcyjne, które celowo prowadzą do awarii na etapie montażu i realizacji zależnych projektów. W wyniku działań Marka została zakłócona praca wielu projektów, w tym AWS CDK, wykorzystujących wskazane biblioteki - biblioteka kolorów jest wykorzystywana jako zależność w 18953 2571 projektach, a faker w XNUMX.
W kodzie biblioteki „colors” dodano wyjście konsolowe tekstu „LIBERTY LIBERTY LIBERTY” oraz nieskończoną pętlę, blokującą pracę zależnych projektów i generującą strumień zniekształconych słów „tesing”. Biblioteka Faker usunęła zawartość repozytorium, dodała pliki .gitignore i .npmignore do zatwierdzenia „endgame”, aby wykluczyć pliki projektu i zastąpiła zawartość pliku README pytaniem „Co naprawdę stało się z Aaronem Swartzem”. Problemy występują w wersjach kolory 1.4.1+ i faker 6.6.6.
W odpowiedzi na te działania GitHub zablokował Marakowi dostęp do swoich repozytoriów (90 publicznych + kilka prywatnych), a NPM wycofał złośliwą wersję pakietu. Jednocześnie wątpliwości budzi legalność działań GitHuba, gdyż usunięcia przez dewelopera kodu z jednego z jego repozytoriów nie można uznać za naruszenie regulaminu serwisu. Co więcej, tekst licencji na kolory i fałszywe pakiety wyraźnie stwierdza, że nie ma żadnych gwarancji ani zobowiązań dotyczących funkcjonalności kodu.
Co ciekawe, pierwsze ostrzeżenie o zaprzestaniu rozwoju pojawiło się ponad rok temu. We wrześniu 2020 roku Marak w wyniku pożaru stracił cały majątek, po czym na początku listopada w formie ultimatum wezwał spółki komercyjne do wykorzystania jego projektów do finansowania kontynuacji rozwoju, pod rygorem zaprzestania wspierania go, ponieważ nie zamierza już pracować za darmo. Przed incydentem najnowsza wersja Colors ukazała się dwa lata temu, a faker 9 miesięcy temu.
Jeśli chodzi o motywy dokonywania destrukcyjnych zmian w pakietach, Marak prawdopodobnie próbuje dać nauczkę korporacjom czerpiącym korzyści z pracy społeczności wolnego oprogramowania, nie dając nic w zamian, lub zwrócić uwagę na ponowne przemyślenie okoliczności śmierci Aarona Swartza. Aaron popełnił samobójstwo po wytoczeniu przeciwko niemu sprawy karnej związanej z kopiowaniem artykułów naukowych z płatnej bazy JSTOR, w obronie idei zapewnienia bezpłatnego dostępu do publikacji naukowych. Aaronowi postawiono zarzuty oszustwa komputerowego i nielegalnego uzyskania informacji z chronionego komputera, za co maksymalna kara wynosiła 50 lat więzienia i grzywna w wysokości miliona dolarów (w przypadku osiągnięcia porozumienia sądowego i uznania zarzutów Aaron musiałby odbyć 6 miesięcy więzienia).
Uważa się, że Aaron pogrążony w depresji nie wytrzymał presji wymiaru sprawiedliwości i niesprawiedliwości stawianych zarzutów (groziło mu 50 lat więzienia za samo pobranie zawartości bazy artykułów naukowych, co jego zdaniem powinny być rozpowszechniane bez ograniczeń). Marak Squires w pytaniu o śmierć Aarona zamieszczonym zamiast usuniętego kodu oraz w poście na Twitterze nawiązuje do niepotwierdzonej teorii spiskowej, według której Aaron Swartz znalazł w archiwach MIT dokumenty dyskredytujące niektóre ważne osoby i został zabity za to, maskując przyjście jako samobójstwo (jutro minie 9 lat od śmierci Aarona).
Źródło: opennet.ru