Marak Squires, autor dos populares pacotes colors (colorização do console node.js) e faker (gerador de dados falsos para campos de entrada), com 2.8 milhões e 25 milhões de downloads semanais, postou novas versões de seus produtos no repositório NPM e no GitHub , incluindo alterações destrutivas que levam propositalmente a falhas na fase de montagem e execução de projetos dependentes. Como resultado das ações de Marak, o trabalho de muitos projetos, incluindo AWS CDK, que usavam as bibliotecas especificadas foi interrompido - a biblioteca de cores é usada como dependência em 18953 projetos e o faker é usado em 2571.
No código da biblioteca "Colors", foram adicionados a saída do console do texto "LIBERTY LIBERTY LIBERTY" e um loop infinito, bloqueando o trabalho de projetos dependentes e gerando um fluxo de palavras distorcidas "tesing". A biblioteca faker removeu o conteúdo do repositório, adicionou arquivos .gitignore e .npmignore ao commit "endgame" para excluir arquivos do projeto e substituiu o conteúdo do arquivo README pela pergunta "O que realmente aconteceu com Aaron Swartz". Os problemas estão presentes nas versões cores 1.4.1+ e faker 6.6.6.
Em resposta a essas ações, o GitHub bloqueou o acesso do Marak aos seus repositórios (90 públicos + vários privados) e o NPM reverteu a versão maliciosa do pacote. Ao mesmo tempo, a legalidade das ações do GitHub levanta questões, uma vez que a remoção de código por um desenvolvedor de um de seus repositórios não pode ser considerada uma violação das regras do serviço. Além disso, o texto da licença para as cores e pacotes falsificados afirma claramente que não há garantias ou obrigações quanto à funcionalidade do código.
Curiosamente, o primeiro aviso sobre a cessação do desenvolvimento foi publicado há mais de um ano. Em setembro de 2020, Marak perdeu todos os seus bens devido a um incêndio, após o qual no início de novembro, em forma de ultimato, apelou às empresas comerciais que utilizassem os seus projetos para financiar a continuação do desenvolvimento, caso contrário prometeu deixar de apoiá-lo, já que ele não pretende mais trabalhar de graça. Antes do incidente, a versão mais recente das cores foi lançada há dois anos e o faker foi lançado há 9 meses.
Quanto aos seus motivos para fazer alterações destrutivas nos pacotes, Marak provavelmente está tentando ensinar uma lição às corporações que se beneficiam do trabalho da comunidade de software livre sem dar nada em troca, ou chamar a atenção para repensar as circunstâncias da morte de Aaron Swartz. Aaron cometeu suicídio depois que um processo criminal foi aberto contra ele relacionado à cópia de artigos científicos do banco de dados pago JSTOR, defendendo a ideia de fornecer acesso gratuito a publicações científicas. Aaron foi acusado de fraude informática e obtenção ilegal de informações de um computador protegido, cuja pena máxima era de 50 anos de prisão e multa de um milhão de dólares (se um acordo judicial fosse alcançado e as acusações fossem admitidas, Aaron teria que cumprir 6 meses de prisão).
Acredita-se que Aaron, em meio à depressão, não suportou a pressão do sistema judiciário e a injustiça das acusações apresentadas (ele enfrentava 50 anos de prisão apenas por baixar o conteúdo de um banco de dados de artigos científicos, que em sua opinião devem ser distribuídos sem restrições). Marak Squires, em uma pergunta sobre a morte de Aaron postada em vez de um código excluído e em uma postagem no Twitter, sugere uma teoria da conspiração não confirmada, segundo a qual Aaron Swartz encontrou alguns documentos nos arquivos do MIT que desacreditaram certas pessoas importantes, e ele foi morto por isso, disfarçando a vinda como suicídio (amanhã fará 9 anos desde que Aaron faleceu).
Fonte: opennet.ru