Har hafta 2.8 million va 25 million yuklab olingan mashhur ranglar (node.js konsolining ranglanishi) va soxta (kirish maydonlari uchun soxta ma'lumotlar generatori) to'plamlarining muallifi Marak Squires o'z mahsulotlarining yangi versiyalarini NPM omborida va GitHub'da joylashtirdi. , shu jumladan, qaram loyihalarni yig'ish va amalga oshirish bosqichida maqsadli ravishda muvaffaqiyatsizlikka olib keladigan halokatli o'zgarishlar. Marakning xatti-harakatlari natijasida ko'plab loyihalar, jumladan, AWS CDK ko'rsatilgan kutubxonalardan foydalanish ishi to'xtatildi - ranglar kutubxonasi 18953 2571 ta loyihada qaramlik sifatida, XNUMX XNUMX tasida esa soxtakordan foydalanilgan.
"Ranglar" kutubxonasi kodiga "LIBERTY LIBERTY LIBERTY" matnining konsol chiqishi va cheksiz tsikl qo'shildi, bu bog'liq loyihalarning ishini blokirovka qiladi va "tesing" buzilgan so'zlar oqimini chiqaradi. Soxta kutubxona ombor mazmunini olib tashladi, .gitignore va .npmignore fayllarini loyiha fayllarini chiqarib tashlash majburiyatiga "endgame" qo'shdi va README fayli mazmunini "Aaron Swartz bilan haqiqatan nima bo'ldi" degan savol bilan almashtirdi. Muammolar ranglarning 1.4.1+ va faker 6.6.6 versiyalarida mavjud.
Ushbu harakatlarga javoban GitHub Marakning o'z omborlariga kirishini blokladi (90 ta ommaviy + bir nechta shaxsiy) va NPM paketning zararli versiyasini qaytarib oldi. Shu bilan birga, GitHub harakatlarining qonuniyligi savollar tug'diradi, chunki dasturchi tomonidan kodni uning omborlaridan biridan olib tashlash xizmat qoidalarini buzish deb hisoblanmaydi. Bundan tashqari, ranglar va soxta paketlar uchun litsenziya matnida kodning funksionalligi bo'yicha hech qanday kafolatlar yoki majburiyatlar yo'qligi aniq ko'rsatilgan.
Qizig'i shundaki, rivojlanishning to'xtatilishi haqidagi birinchi ogohlantirish bir yildan ko'proq vaqt oldin e'lon qilingan. 2020 yil sentyabr oyida Marak yong'in tufayli barcha mol-mulkini yo'qotdi, shundan so'ng noyabr oyi boshida u ultimatum shaklida tijorat kompaniyalarini o'z loyihalarini rivojlantirishni davom ettirishni moliyalashtirishga chaqirdi, aks holda u uni qo'llab-quvvatlashni to'xtatishga va'da berdi. chunki u endi tekin ishlash niyatida emas. Voqea sodir bo'lgunga qadar ranglarning so'nggi versiyasi ikki yil oldin, soxtakor esa 9 oy oldin chiqarilgan.
Paketlarga buzg'unchi o'zgartirishlar kiritish sabablariga kelsak, Marak, ehtimol, bepul dasturiy ta'minot hamjamiyatining ishidan foyda ko'radigan korporatsiyalarga hech narsa qaytarmasdan saboq berishga yoki e'tiborni o'lim holatlarini qayta ko'rib chiqishga qaratishga harakat qilmoqda. Aaron Svarts. Aaron ilmiy nashrlarga bepul kirishni ta'minlash g'oyasini himoya qilib, JSTOR pullik ma'lumotlar bazasidan ilmiy maqolalarni nusxalash bilan bog'liq jinoiy ish qo'zg'atilganidan keyin o'z joniga qasd qildi. Aaron kompyuter firibgarligi va himoyalangan kompyuterdan noqonuniy ma'lumot olishda ayblangan, buning uchun maksimal jazo 50 yil qamoq va bir million dollar jarima edi (agar sud kelishuviga erishilsa va ayblovlar tan olinsa, Aaron xizmatni o'tashi kerak edi. 6 oy qamoq).
Taxminlarga ko'ra, Horun ruhiy tushkunlik davrida sud tizimining bosimiga va ilgari surilgan ayblovlarning adolatsizligiga dosh bera olmadi (u faqat ilmiy maqolalar ma'lumotlar bazasi mazmunini yuklab olgani uchun 50 yil qamoq jazosiga hukm qilingan edi, uning fikricha. cheklovlarsiz tarqatilishi kerak). Marak Squires o'chirilgan kod o'rniga va Twitterdagi postida Aaronning o'limi haqidagi savolida tasdiqlanmagan fitna nazariyasiga ishora qiladi, unga ko'ra Aaron Svarts MIT arxivlarida ba'zi muhim odamlarni obro'sizlantiradigan ba'zi hujjatlarni topdi va u Buning uchun o'ldirilgan.Kelishni o'z joniga qasd qilish deb niqoblash (ertaga Horun vafot etganiga 9 yil bo'ladi).
Manba: opennet.ru