Son derece popüler iki açık kaynaklı NPM kodlama kitaplığının arkasındaki eksantrik geliştirici, kısa süre önce her ikisini de bir dizi tuhaf güncellemeyle bozdu. tuğlalama destek için onlara güvenen yığınla proje.
Marak Squires, popüler JavaScript kitaplıklarının arkasındaki yaratıcıdır sahtekar ve Renkler-beğenileri, çeşitli kodlama projelerinde geliştiriciler için önemli araçlardır. Bunların ne kadar yaygın olarak kullanıldığına dair bir fikir vermek için, Renkler bildirildiğine göre daha fazlasını görür Haftada 20 milyon indirme ve Faker yaklaşık 2 milyon alıyor. Söylemek yeterli, çok fazla fayda sağlıyorlar.
Ancak, Squires kısa süre önce tüm bunları alt üst etmek için tuhaf bir karar verdi. kütüphaneleri kontrolden çıkaran bir dizi kötü niyetli güncellemeyi yürüttüğünde, bir sürü bağımlı projeyi de beraberinde götürdü. Renkler söz konusu olduğunda, Squires kaynak kodunun sonsuz bir yinelenen döngüye girmesine neden olan bir güncelleme gönderdi. Bu, onu kullanan uygulamaların “Liberty Liberty Liberty” metnini yayınlamasına ve ardından anlamsız, bozuk veri savurganlığına neden olarak işlevlerini etkili bir şekilde sakatladı. Bu arada Faker ile, yakın zamanda kütüphanenin tüm kodunu temel olarak bozan yeni bir güncelleme tanıtıldı. Squires daha sonra programı “ücretsiz” olarak sürdürmeyeceğini açıkladı.
Her iki programa da güvenen geliştiricileri panik moduna gönderen bölümün tamamı, ilk gözlemlenen ile araştırmacılar tarafından Snyk, açık kaynaklı bir güvenlik şirketi ve aynı zamanda BleeBilgisayar.
Bu kaynaklara göre, yaklaşık 20.000 kodlama projesi, çalışmaları için bu kütüphanelere güveniyor ve son taahhütlerin bir sonucu olarak, bunların çoğu artık etkin bir şekilde “tuğlaya alındı” – ya da sıradan insanların terimleriyle, çuvalladılar. (“Bricking”, bir donanım parçasının bir yazılım sorunu veya başka bir hasar nedeniyle bozulup kullanılamaz hale gelmesi için kullanılan teknik terimdir.)
Tüm bu bölümle ilgili en kafa karıştırıcı şey, tamamen net olmamasıdır. Niye Bunu Squires yaptı. Bazı çevrimiçi yorumcular, kararı bir Blog yazısı büyük şirketlerin kendisi gibi geliştiricilerin açık kaynak kodunu kullanmasına karşı çıktığı 2020’de yayınladı. Kurumsal Amerika’nın mali köşeleri kesme eğiliminde olduğu doğru sömürerek ücretsiz olarak temin edilebilen kodlama araçları (sadece son log4j fiyaskosu, örneğin), ancak açık kaynaklı bir kodlayıcıysanız, görünüşte bunu bilir ve beklersiniz.
Gerçekten de, Squires’ın kütüphanelerini yıldırma şekli basit bir açıklamaya meydan okuyor gibi görünüyor. Birincisi, kütüphaneleri karıştıran taahhütlere, Faker güncellemesi durumunda Aaron Swartz’a atıfta bulunan garip metin dosyaları eşlik etti. Swartz tanınmış bir bilgisayar programcısıdır. ölübulundu 2013’te dairesinde bariz bir intihar. Squires ayrıca, kötü niyetli taahhütler sırasında Swartz’a bir dizi başka garip kamu referansı yaptı.
“NPM, faker.js paketinin önceki bir sürümüne geri döndü ve Github, tüm kamu ve özel projelere erişimimi askıya aldı. 100’lerce projem var. #AaronSwartzSquires, 6 Ocak’ta tweet attı. bir Reddit dizisi paylaştı ölümünü yakın zamanda hüküm giymiş seks kaçakçısı Ghislaine Maxwell ile ilişkilendiriyor.
Son zamanlardaki olaylar, Squires’ın suçlanan kişiyle aynı kişi olup olmadığı konusunda çevrimiçi spekülasyonları da teşvik etti. pervasız tehlikeye atmak için 2020’de, bir “Marak Squires”a ait bir Queens apartmanında çıkan yangın, müfettişlerin ev yapımı bomba yapım malzemeleri zulasını keşfetmelerine yol açtı. Birkaç kişi Pazartesi günü Squires’ın bu olayla bariz bağlantısı hakkında yorum yaptı: “Şahsen ben bu olaydan sonra Marak’ın tüm eşyalarını projelerimden mümkün olduğunca çıkarmaya başladım.” tweetlendi AWS Cloud geliştiricisi Nathan Peck, “bomba” bölümüne atıfta bulunuyor. “Adam kararlı değil ve ben onun koduna hiçbir konuda güvenmem.” Bununla birlikte, Gizmodo, bomba-Squires ve kodlama-Squires’ın bir ve aynı olduğuna dair herhangi bir bağımsız doğrulama bulamadı.
Her halükarda, bu çok tuhaf bir hikaye – ve bu noktada özellikle çözülmüş hissetmeyen bir hikaye. Bu nedenle, yorum için Squires’a ulaştık ve yanıt verirse bu hikayeyi güncelleyeceğiz.
.
genel-7
