Marak Squires 是流行顏色(node.js 控制台著色)和faker(輸入字段的假數據生成器)軟體包的作者,每週下載量分別為2.8 萬和25 萬次,他已在NPM 存儲庫和GitHub上發布了其產品的新版本,包括故意導致依賴專案組裝和執行階段失敗的破壞性變更。 由於 Marak 的行為,包括 AWS CDK 在內的許多使用指定庫的項目的工作受到干擾 - 在 18953 個項目中使用了顏色庫作為依賴項,在 2571 個項目中使用了 faker。
在「colors」函式庫程式碼中,加入了文字「LIBERTY LIBERTY LIBERTY」的控制台輸出和無限循環,阻止了依賴項目的工作並輸出一串扭曲的單字「tesing」。 faker 庫刪除了儲存庫的內容,將 .gitignore 和 .npmignore 文件添加到「endgame」提交中以排除專案文件,並用問題「Aaron Swartz 到底發生了什麼」替換了 README 文件的內容。 color 1.4.1+ 和 faker 6.6.6 版本中存在問題。
作為對這些行為的回應,GitHub 阻止了 Marak 對其存儲庫(90 個公共存儲庫 + 多個私有存儲庫)的訪問,並且 NPM 回滾了該包的惡意版本。 同時,GitHub 行為的合法性引發了質疑,因為開發人員從其儲存庫之一刪除程式碼不能被視為違反該服務的規則。 此外,顏色和 faker 套件的授權文字明確指出,對於程式碼的功能不提供任何保證或義務。
有趣的是,關於停止開發的第一個警告是在一年多前發布的。 2020年9月,馬拉克因一場火災失去了所有財產,此後XNUMX月初,他以最後通牒的形式呼籲商業公司利用他的項目為繼續開發提供資金,否則他承諾停止支持他,因為他不再打算免費工作。 事件發生前,最新版本的colors於兩年前發布,faker於XNUMX個月前發布。
至於他對軟體包進行破壞性更改的動機,馬拉克很可能試圖給那些從自由軟體社群的工作中受益而不給予任何回報的公司一個教訓,或者讓人們重新思考自由軟體社群死亡的情況。亞倫·斯沃茨。 亞倫在因從付費資料庫 JSTOR 複製科學文章而被提起刑事訴訟後自殺,他捍衛了免費獲取科學出版物的想法。 亞倫被指控犯有電腦詐欺和從受保護的電腦中非法獲取資訊的罪名,最高刑罰為 50 年監禁和 6 萬美元罰款(如果法庭達成協議並承認指控,亞倫將不得不服刑)入獄XNUMX 個月)。
據信,處於憂鬱狀態的亞倫無法承受司法系統的壓力和所提出的不公正指控(他僅因下載科學文章資料庫的內容而面臨 50 年監禁,他認為這應不受限制地分發)。 馬拉克·斯奎爾斯(Marak Squires)在一個關於亞倫之死的問題中發表了而不是刪除的代碼,並在推特上發表了一篇帖子,暗示了一個未經證實的陰謀論,根據這一陰謀論,亞倫·斯沃茨(Aaron Swartz)在麻省理工學院檔案中發現了一些抹黑某些重要人物的文件,他為此而被殺。將這次到來偽裝成自殺(明天就是亞倫去世九週年了)。
來源: opennet.ru