Marak Squires, tác giả của các gói màu sắc phổ biến (màu sắc bảng điều khiển node.js) và gói faker (trình tạo dữ liệu giả cho các trường đầu vào), với 2.8 triệu và 25 triệu lượt tải xuống hàng tuần, đã đăng các phiên bản mới của sản phẩm của mình trong kho NPM và trên GitHub , bao gồm cả những thay đổi mang tính phá hủy nhằm mục đích dẫn đến thất bại ở giai đoạn lắp ráp và thực hiện các dự án phụ thuộc. Do hành động của Marak, công việc của nhiều dự án, bao gồm cả AWS CDK, sử dụng các thư viện được chỉ định đã bị gián đoạn - thư viện màu sắc được sử dụng làm phần phụ thuộc trong 18953 dự án và trình giả mạo được sử dụng trong 2571 dự án.
Trong mã thư viện "colors", đầu ra bảng điều khiển của văn bản "LIBERTY LIBERTY LIBERTY" và một vòng lặp vô hạn đã được thêm vào, chặn hoạt động của các dự án phụ thuộc và xuất ra một dòng từ bị bóp méo "tesing". Thư viện kẻ giả mạo đã xóa nội dung của kho lưu trữ, thêm các tệp .gitignore và .npmignore vào cam kết "endgame" để loại trừ các tệp dự án và thay thế nội dung của tệp README bằng câu hỏi "Điều gì thực sự đã xảy ra với Aaron Swartz." Sự cố xảy ra ở phiên bản màu 1.4.1+ và faker 6.6.6.
Để đáp lại những hành động này, GitHub đã chặn quyền truy cập của Marak vào kho lưu trữ của nó (90 kho lưu trữ công khai + một số kho lưu trữ riêng tư) và NPM đã khôi phục phiên bản độc hại của gói. Đồng thời, tính hợp pháp của các hành động của GitHub đặt ra câu hỏi, vì việc nhà phát triển xóa mã khỏi một trong các kho lưu trữ của họ không thể bị coi là vi phạm các quy tắc của dịch vụ. Hơn nữa, văn bản cấp phép cho các gói màu và gói giả mạo nêu rõ rằng không có đảm bảo hoặc nghĩa vụ nào liên quan đến chức năng của mã.
Điều thú vị là cảnh báo đầu tiên về việc ngừng phát triển đã được công bố cách đây hơn một năm. Vào tháng 2020 năm 9, Marak mất toàn bộ tài sản do hỏa hoạn, sau đó vào đầu tháng XNUMX, dưới hình thức tối hậu thư, ông kêu gọi các công ty thương mại sử dụng dự án của mình để tài trợ cho việc tiếp tục phát triển, nếu không ông hứa sẽ ngừng hỗ trợ ông, vì anh ấy không còn có ý định làm việc miễn phí nữa. Trước khi xảy ra sự việc, phiên bản màu mới nhất đã ra mắt cách đây XNUMX năm, còn faker ra mắt cách đây XNUMX tháng.
Về động cơ thực hiện những thay đổi mang tính phá hoại đối với các gói, Marak có thể đang cố gắng dạy một bài học cho các tập đoàn được hưởng lợi từ công việc của cộng đồng phần mềm miễn phí mà không trả lại bất cứ điều gì, hoặc thu hút sự chú ý đến việc xem xét lại hoàn cảnh về cái chết của phần mềm miễn phí. Aaron Swartz. Aaron đã tự sát sau khi một vụ án hình sự chống lại anh ta liên quan đến việc sao chép các bài báo khoa học từ cơ sở dữ liệu trả phí JSTOR, bảo vệ ý tưởng cung cấp quyền truy cập miễn phí vào các ấn phẩm khoa học. Aaron bị buộc tội gian lận máy tính và lấy thông tin bất hợp pháp từ một máy tính được bảo vệ, hình phạt tối đa là 50 năm tù và phạt một triệu đô la (nếu đạt được thỏa thuận của tòa án và các cáo buộc được thừa nhận, Aaron sẽ phải thụ án). 6 tháng tù).
Người ta tin rằng Aaron, trong bối cảnh trầm cảm, không thể chịu được áp lực của hệ thống tư pháp và sự bất công của các cáo buộc được đưa ra (anh ta phải đối mặt với 50 năm tù chỉ vì tải xuống nội dung cơ sở dữ liệu các bài báo khoa học, theo ý kiến của anh ta). nên được phân phối mà không bị hạn chế). Marak Squires, trong một câu hỏi về cái chết của Aaron được xuất bản thay vì một đoạn mã đã bị xóa và trong một bài đăng trên Twitter, gợi ý về một thuyết âm mưu chưa được xác nhận, theo đó Aaron Swartz đã tìm thấy một số tài liệu trong kho lưu trữ của MIT làm mất uy tín của một số người quan trọng, và anh ta đã bị giết vì nó ngụy trang việc sắp tới là tự sát (ngày mai là tròn 9 năm kể từ khi Aaron qua đời).
Nguồn: opennet.ru