Разработчик двух чрезвычайно популярных библиотек кодирования NPM с открытым исходным кодом испортил их вредоносными обновлениями и привел к краху множества проектов на их основе.
Марак Сквайрс – создатель популярных библиотек JavaScript Faker и Colors, которые являются ключевыми инструментами для разработчиков в различных проектах кодирования. Colors имеет более 20 млн загрузок в неделю, Faker – около 2 млн.
Недавно Сквайрс выпустил ряд вредоносных обновлений, которые вывели из строя его собственные библиотеки, а с ними множество зависимых проектов. В случае с Colors обновление зациклило исходный код на бесконечное повторение. Приложения, использующие его, выдавали текст «Свобода, свобода, свобода», за которым следовал поток бессмысленных искаженных данных. Обновление Faker фактически уничтожило весь код библиотеки. Впоследствии Сквайрс объявил, что больше не будет поддерживать программу «бесплатно».
На эти библиотеки полагались около 20 тыс. проектов по кодированию. В результате недавних коммитов многие из них теперь фактически разрушены.
Все еще не совсем понятно, зачем Сквайрс это сделал. Некоторые комментаторы вспомнили выступление программиста в 2020 году против использования крупными компаниями открытого исходного кода таких разработчиков, как он сам. Это правда, что корпоративная Америка имеет тенденцию экономить на финансах, используя свободно доступные инструменты кодирования, но кодеры программ с открытым исходным кодом знают и ожидают этого.
Сам Сквайрс включил в файл readme, сопровождающий вредоносное обновление, слова «Что на самом деле произошло с Аароном Шварцем?». Шварц – известный программист, который был найден мертвым в своей квартире в 2013 году. Следствие заявило о явном самоубийстве. Сквайрс также сделал ряд других ссылок на Шварца во время вредоносных коммитов.
Шварцу предъявили обвинения в хакерских атаках, за которые он мог попасть в тюрьму на 50 лет. Обвинения в предполагаемых преступлениях, связанных со взломом компьютеров и мошенничестве с использованием электронных средств связи, были выдвинуты из-за того, что программист вошел в сеть в Массачусетском технологическом институте. После того, как его заблокировали в системе Wi-Fi MIT, он зашел в его ЦОД и подключил ноутбук непосредственно к сети кампуса.
Сквайрс поделился ссылкой на ветку, в которой утверждалось, что Шварц был убит после того, как обнаружил на серверах MIT порно с жестоким обращением с детьми. В уже удаленном сообщении, включенном в ветку, Массачусетский технологический обвинялся в распространении такого порно среди клиентуры, в которую входят высший эшелон госдепартамента, крупные корпорации, спецслужбы, военное руководство и Белый дом. По утверждению автора сообщения, Шварц умер в героической попытке разоблачить это извращение.
Недавний поворот событий также спровоцировал спекуляции о том, является ли Сквайрс тем же человеком, которому было предъявлено обвинение в преступной небрежности в 2020 году, когда пожар в принадлежащем «Мараку Сквайрсу» многоквартирном доме в Квинсе привел к тому, что следователи обнаружили тайник с самодельной бомбой. Однако Gizmodo не смог найти никаких независимых подтверждений того, что это одно лицо.
На скрине с ютуба – Марак Сквайрс выступает на JSConfEU 2011 с докладом «Как быть гангстером с открытым исходным кодом»