Haftalık 2.8 milyon ve 25 milyon indirme sayısına sahip popüler renklerin (node.js konsol renklendirmesi) ve sahte (giriş alanları için sahte veri oluşturucu) paketlerinin yazarı Marak Squires, ürünlerinin yeni sürümlerini NPM deposunda ve GitHub'da yayınladı Bağımlı projelerin montajı ve yürütülmesi aşamasında kasıtlı olarak başarısızlıklara yol açan yıkıcı değişiklikler dahil. Marak'ın eylemleri sonucunda, AWS CDK dahil olmak üzere belirtilen kütüphaneleri kullanan birçok projenin çalışması aksadı; 18953 projede renk kütüphanesi bağımlılık olarak, 2571 projede ise faker kullanıldı.
"Renkler" kitaplık koduna, "LIBERTY LIBERTY LIBERTY" metninin konsol çıktısı ve sonsuz bir döngü eklendi, bağımlı projelerin çalışması engellendi ve çarpık bir "testing" sözcük akışı çıktısı çıktı. Faker kütüphanesi, deponun içeriğini kaldırdı, proje dosyalarını hariç tutmak için "oyunsonu" taahhüdüne .gitignore ve .npmignore dosyalarını ekledi ve README dosyasının içeriğini "Aaron Swartz'a Gerçekten Ne Oldu?" sorusuyla değiştirdi. 1.4.1+ ve sahte 6.6.6 sürümlerinde sorunlar mevcut.
Bu eylemlere yanıt olarak GitHub, Marak'ın depolarına (90 genel + birkaç özel) erişimini engelledi ve NPM, paketin kötü amaçlı sürümünü geri aldı. Aynı zamanda, GitHub'un eylemlerinin yasallığı da soruları gündeme getiriyor; çünkü kodun bir geliştirici tarafından depolarından birinden kaldırılması, hizmet kurallarının ihlali olarak değerlendirilemez. Ayrıca renklerin ve sahte paketlerin lisans metninde, kodun işlevselliğine ilişkin herhangi bir garanti veya yükümlülüğün bulunmadığı açıkça belirtilmektedir.
İlginç bir şekilde, gelişimin durdurulmasına ilişkin ilk uyarı bir yıldan fazla bir süre önce yayınlandı. Eylül 2020'de çıkan bir yangın nedeniyle tüm mal varlığını kaybeden Marak, Kasım ayı başlarında bir ültimatom şeklinde ticari şirketlere projelerini kullanarak kalkınmanın devamını finanse etme çağrısında bulundu, aksi takdirde kendisini desteklemeyi bırakacağına söz verdi. çünkü artık bedava çalışmayı düşünmüyor. Olaydan önce Colours'un son sürümü iki yıl önce, Faker ise 9 ay önce yayınlanmıştı.
Paketlerde yıkıcı değişiklikler yapma amacına gelince, Marak muhtemelen karşılığında hiçbir şey vermeden özgür yazılım topluluğunun çalışmalarından yararlanan şirketlere bir ders vermeye ya da Marak'ın ölüm koşullarının yeniden düşünülmesine dikkat çekmeye çalışıyor. Aaron Swartz. Aaron, bilimsel yayınlara ücretsiz erişim sağlama fikrini savunan JSTOR adlı ücretli veri tabanından bilimsel makalelerin kopyalanmasıyla ilgili olarak kendisine açılan ceza davasının ardından intihar etti. Aaron bilgisayar dolandırıcılığı ve korumalı bir bilgisayardan yasa dışı olarak bilgi edinmekle suçlandı; bunun maksimum cezası 50 yıl hapis ve bir milyon dolar para cezasıydı (mahkemede anlaşmaya varılır ve suçlamalar kabul edilirse Aaron cezasını çekmek zorunda kalacaktı). 6 ay hapis).
Aaron'un, depresyonun ortasında, yargı sisteminin baskısına ve öne sürülen suçlamaların adaletsizliğine dayanamadığına inanılıyor (kendi görüşüne göre bilimsel makalelerden oluşan bir veri tabanının içeriğini indirdiği için 50 yıl hapisle karşı karşıyaydı). kısıtlama olmaksızın dağıtılmalıdır). Marak Squires, silinmiş bir kod yerine Aaron'un ölümüyle ilgili yayınlanan bir soruda ve Twitter'daki bir gönderide, doğrulanmamış bir komplo teorisine işaret ediyor; buna göre Aaron Swartz, MIT arşivlerinde bazı önemli kişileri itibarsızlaştıran bazı belgeler buldu ve o, gelişini intihar süsü vererek (yarın Aaron'un ölümünün üzerinden 9 yıl geçecek).
Kaynak: opennet.ru
