Marak Squires, autor populárnych balíčkov farieb (zafarbenie konzoly node.js) a falošných (falošný generátor údajov pre vstupné polia) s 2.8 miliónmi a 25 miliónmi stiahnutí týždenne, zverejnil nové verzie svojich produktov v úložisku NPM a na GitHub. , vrátane deštruktívnych zmien, ktoré cielene vedú k poruchám v štádiu montáže a realizácie závislých projektov. V dôsledku Marakových činov bola prerušená práca mnohých projektov, vrátane AWS CDK, pomocou špecifikovaných knižníc - knižnica farieb sa používa ako závislosť v 18953 2571 projektoch a faker sa používa v XNUMX XNUMX.
V kóde knižnice "farby" bol pridaný konzolový výstup textu "LIBERTY LIBERTY LIBERTY" a nekonečná slučka, ktorá blokuje prácu závislých projektov a vydáva prúd skreslených slov "testovanie". Falošná knižnica odstránila obsah úložiska, pridala súbory .gitignore a .npmignore do odovzdania „endgame“ na vylúčenie súborov projektu a nahradila obsah súboru README otázkou „Čo sa skutočne stalo Aaronovi Swartzovi“. Problémy sú vo verziách farieb 1.4.1+ a falošných 6.6.6.
V reakcii na tieto akcie GitHub zablokoval Marakovi prístup k jeho úložiskám (90 verejných + niekoľko súkromných) a NPM vrátil škodlivú verziu balíka. Zákonnosť konania GitHub zároveň vyvoláva otázky, pretože odstránenie kódu vývojárom z jedného z jeho úložísk nemožno považovať za porušenie pravidiel služby. Navyše, licenčný text pre farby a falošné balíčky jasne uvádza, že neexistujú žiadne záruky alebo povinnosti týkajúce sa funkčnosti kódu.
Zaujímavosťou je, že prvé varovanie o zastavení vývoja bolo zverejnené už pred viac ako rokom. V septembri 2020 prišiel Marak o všetok svoj majetok v dôsledku požiaru, po ktorom začiatkom novembra formou ultimáta vyzval obchodné spoločnosti z jeho projektov na financovanie pokračovania rozvoja, inak mu sľúbil, že ho prestane podporovať, keďže už nemieni pracovať zadarmo. Pred incidentom bola najnovšia verzia farieb vydaná pred dvoma rokmi a falošná pred 9 mesiacmi.
Pokiaľ ide o jeho motívy pre deštruktívne zmeny v balíkoch, Marak sa pravdepodobne snaží dať lekciu korporáciám, ktoré ťažia z práce komunity slobodného softvéru bez toho, aby na oplátku niečo vracali, alebo sa snaží upriamiť pozornosť na prehodnotenie okolností smrti. Aaron Swartz. Aaron spáchal samovraždu po tom, čo bolo proti nemu vznesené trestné konanie súvisiace s kopírovaním vedeckých článkov z platenej databázy JSTOR, obhajujúc myšlienku bezplatného prístupu k vedeckým publikáciám. Aaron bol obvinený z počítačového podvodu a nezákonného získavania informácií z chráneného počítača, pričom maximálny trest bol 50 rokov väzenia a pokuta jeden milión dolárov (ak by došlo k dohode súdu a obvinenia by boli uznané, Aaron by si musel odpykať 6 mesiacov vo väzení).
Verí sa, že Aaron uprostred depresie nevydržal tlak súdneho systému a nespravodlivosť vznesených obvinení (hrozilo mu 50 rokov väzenia len za stiahnutie obsahu databázy vedeckých článkov, ktoré podľa jeho názoru by sa mali distribuovať bez obmedzení). Marak Squires v otázke o Aaronovej smrti uverejnenej namiesto vymazaného kódu a v príspevku na Twitteri naznačuje nepotvrdenú konšpiračnú teóriu, podľa ktorej Aaron Swartz našiel v archívoch MIT nejaké dokumenty, ktoré diskreditovali určitých dôležitých ľudí, a bol zabitý za to. maskovanie príchodu za samovraždu (zajtra to bude 9 rokov, čo Aaron zomrel).
Zdroj: opennet.ru