Marak Squires, autor dos populares pacotes colors (um colorizador para o console do Node.js) e faker (um gerador de dados falsos para campos de entrada), que possuem 2.8 milhões e 25 milhões de downloads semanais, respectivamente, publicou novas versões de seus produtos no repositório NPM e no GitHub. Essas versões contêm alterações destrutivas que causam intencionalmente falhas de compilação e execução em projetos dependentes. As ações de Marak quebraram muitos projetos, incluindo o AWS CDK, que utiliza essas bibliotecas. A biblioteca colors é usada como dependência por 18953 projetos, e o faker por 2571.
O código da biblioteca "colors" foi atualizado com a saída no console do texto "LIBERTY LIBERTY LIBERTY" e um loop infinito que bloqueia projetos dependentes e exibe um fluxo de palavras ininteligíveis como "tesing". O conteúdo do repositório da biblioteca faker foi removido, arquivos .gitignore e .npmignore foram adicionados ao commit "endgame" para excluir arquivos de projeto, e o arquivo README foi substituído pela pergunta "O que realmente aconteceu com Aaron Swartz?". Os problemas estão presentes nas versões 1.4.1+ do colors e 6.6.6 do faker.
Em resposta a essas ações, o GitHub bloqueou o acesso de Marak aos seus repositórios (90 públicos e vários privados), e o NPM reverteu a versão maliciosa do pacote. No entanto, a legalidade das ações do GitHub levanta questionamentos, visto que a remoção de código de um de seus repositórios por um desenvolvedor não pode ser considerada uma violação de seus termos de serviço. Além disso, a licença dos pacotes colors e faker afirma claramente que não há garantias ou obrigações quanto à funcionalidade do código.
Curiosamente, o primeiro aviso sobre a interrupção do desenvolvimento foi publicado há mais de um ano. Em setembro de 2020, Marak perdeu todos os seus bens em um incêndio, após o qual, no início de novembro, ele deu um ultimato às empresas comerciais que utilizavam seus projetos para financiar o desenvolvimento contínuo; caso contrário, prometeu cessar o suporte, pois não pretendia mais trabalhar gratuitamente. Antes do incidente, a versão mais recente do Colors havia sido lançada dois anos antes, e a do Faker, nove meses antes.
Quanto aos motivos por trás da introdução de alterações destrutivas nos pacotes, é provável que Marak esteja tentando dar uma lição às corporações que exploram o trabalho da comunidade de software livre sem oferecer nada em troca, ou chamar a atenção para as circunstâncias da morte de Aaron Swartz. Aaron cometeu suicídio após ser acusado de copiar artigos científicos do banco de dados pago JSTOR, defendendo o acesso gratuito a publicações científicas. Aaron foi acusado de fraude informática e obtenção ilegal de informações de um computador protegido, crimes que previam pena máxima de 50 anos de prisão e multa de um milhão de dólares (caso se declarasse culpado, cumpriria seis meses de prisão).
Acredita-se que Aaron, sofrendo de depressão, sucumbiu à pressão do sistema judicial e à injustiça das acusações que lhe foram imputadas (ele enfrentava 50 anos de prisão simplesmente por baixar o conteúdo de um banco de dados de artigos científicos, que ele acreditava que deveria ser distribuído sem restrições). Em uma pergunta sobre a morte de Aaron, publicada no lugar do código deletado, e em uma postagem no Twitter, Marak Squires alude a uma teoria da conspiração não confirmada, segundo a qual Aaron Swartz teria encontrado documentos nos arquivos do MIT que desacreditavam certas figuras importantes e teria sido assassinado por isso, disfarçando a morte como suicídio (amanhã completam-se nove anos da morte de Aaron).
Fonte: opennet.ru
