Οι χρήστες των δημοφιλών βιβλιοθηκών ανοιχτού κώδικα 'colors' και 'faker' έμειναν άναυδοι όταν είδαν τις εφαρμογές τους, που χρησιμοποιούσαν αυτές τις βιβλιοθήκες, να εκτυπώνουν ασυναρτησίες και να σπάνε.
Κάποιοι υπέθεσαν αν οι βιβλιοθήκες NPM είχαν παραβιαστεί, αλλά αποδεικνύεται ότι η ιστορία έχει πολύ περισσότερα στοιχεία.
Ο προγραμματιστής αυτών των βιβλιοθηκών εισήγαγε σκόπιμα ένα infinite loop, μπλοκάροντας χιλιάδες projects που εξαρτώνται από τα 'colors' και 'faker'.
Η βιβλιοθήκη colors λαμβάνει πάνω από 20 εκατομμύρια εβδομαδιαίες λήψεις μόνο στο npm και έχει σχεδόν 19.000 έργα που βασίζονται σε αυτήν. Ενώ η faker λαμβάνει πάνω από 2,8 εκατομμύρια εβδομαδιαίες λήψεις στο npm και έχει πάνω από 2.500 εξαρτώμενα μέλη.
Ο προγραμματιστής πίσω από τις δημοφιλείς βιβλιοθήκες NPM ανοιχτού κώδικα 'colors' (γνωστές και ως colors.js στο GitHub) και 'faker' (γνωστές και ως 'faker.js' στο GitHub) εισήγαγε σκόπιμα άτακτες δεσμεύσεις σε αυτές που επηρεάζουν χιλιάδες εφαρμογές που βασίζονται σε αυτές τις βιβλιοθήκες.
Χθες, οι χρήστες δημοφιλών έργων ανοικτού κώδικα, όπως το Cloud Development Kit της Amazon (aws-cdk), έμειναν άναυδοι βλέποντας τις εφαρμογές τους να εκτυπώνουν ακαταλαβίστικα μηνύματα στην κονσόλα τους.
Τα μηνύματα αυτά περιλάμβαναν το κείμενο "LIBERTY LIBERTY LIBERTY LIBERTY" ακολουθούμενο από μια ακολουθία χαρακτήρων μη ASCII:
Αρχικά, οι χρήστες υποψιάστηκαν ότι οι βιβλιοθήκες 'colors' και 'faker' που χρησιμοποιούνταν από αυτά τα έργα είχαν παραβιαστεί [1, 2, 3], παρόμοια με τον τρόπο με τον οποίο οι βιβλιοθήκες coa, rc και ua-parser-js υπέστησαν πειρατεία πέρυσι από κακόβουλους φορείς.
Αλλά, στην πραγματικότητα, ήταν ο dev πίσω από τις colors και faker που φαίνεται να έχει διαπράξει σκόπιμα τον κώδικα που ευθύνεται για τη μεγάλη γκάφα, όπως είδε το BleepingComputer.
Ο προγραμματιστής με το όνομα Marak Squires πρόσθεσε χθες στη βιβλιοθήκη colors.js ένα "νέο module με την αμερικανική σημαία" στην έκδοση v1.4.44-liberty-2, την οποία στη συνέχεια έσπρωξε στο GitHub και στο npm.
Ο άπειρος βρόχος που εισάγεται στον κώδικα θα συνεχίσει να εκτελείται επ' αόριστον, εκτυπώνοντας την ακαταλαβίστικη ακολουθία χαρακτήρων μη ASCII ατελείωτα στην κονσόλα για κάθε εφαρμογή που χρησιμοποιεί 'χρώματα'.
Ομοίως, μια σαμποταρισμένη έκδοση '6.6.6' του faker δημοσιεύτηκε στο GitHub και στο npm.
"Έπεσε στην αντίληψή μας ότι υπάρχει ένα σφάλμα zalgo στην έκδοση v1.4.44-liberty-2 του colors", ειρωνεύτηκε ο προγραμματιστής.
"Σας ενημερώνουμε ότι εργαζόμαστε αυτή τη στιγμή για να διορθώσουμε την κατάσταση και θα έχουμε σύντομα μια λύση".
Το κείμενο zalgo αναφέρεται σε ορισμένους μη ASCII χαρακτήρες που εμφανίζονται με δυσλειτουργία.
Ο λόγος πίσω από αυτή την αταξία από την πλευρά του προγραμματιστή φαίνεται να είναι η εκδίκηση - κατά των μεγαλοεταιρειών και των εμπορικών καταναλωτών έργων ανοικτού κώδικα που βασίζονται εκτενώς σε λογισμικό χωρίς κόστος και με τη βοήθεια της κοινότητας, αλλά δεν ανταποδίδουν, σύμφωνα με τον προγραμματιστή, στην κοινότητα.
Τον Νοέμβριο του 2020, ο Marak είχε προειδοποιήσει ότι δεν θα υποστηρίζει πλέον τις μεγάλες εταιρείες με την "δωρεάν εργασία" του και ότι οι εμπορικές οντότητες θα πρέπει να εξετάσουν το ενδεχόμενο είτε να κάνουν forking στα έργα είτε να αποζημιώνουν τον dev με έναν ετήσιο "εξαψήφιο" μισθό.
"Με όλο το σεβασμό, δεν πρόκειται πλέον να υποστηρίξω τις Fortune 500 ( και άλλες μικρότερες σε μέγεθος εταιρείες ) με την δωρεάν εργασία μου. Δεν υπάρχουν πολλά άλλα να πω", έγραψε προηγουμένως ο προγραμματιστής.
"Πάρτε αυτό ως ευκαιρία να μου στείλετε ένα εξαψήφιο ετήσιο συμβόλαιο ή να διχάσετε το έργο και να βάλετε κάποιον άλλο να το δουλέψει.
Είναι ενδιαφέρον ότι από σήμερα, το BleepingComputer παρατήρησε ότι η σελίδα README για το 'faker' GitHub repo τροποποιήθηκε επίσης από τον προγραμματιστή για να κάνει αναφορά στον Aaron Swartz αναφέροντας: "Τι συνέβη πραγματικά με τον Aaron Swartz;"
Translated with www.DeepL.com/Translator (free version)
Αναλυτικά : Bleeping Computer
Εμφάνιση 1-15 από 22
-
10-01-22, 12:46 Ο developer των NPM libs 'colors' and 'faker', σαμποτάρει εσκεμμένα τον κώδικα τους, "σπάζοντας" χιλιάδες εφαρμογές #1
- Εγγραφή
- 22-09-2003
- Μηνύματα
- 81.690
- Downloads
- 218
- Uploads
- 48
- Άρθρα
- 6
- Τύπος
- VDSL2
- Ταχύτητα
- 204800/20480
- ISP
- Wind
- Router
- Technicolor DGA4130
- SNR / Attn
- 6(dB) / 2.8(dB)
- Path Level
- Interleaved
-
10-01-22, 12:53 Απάντηση: Ο developer των NPM libs 'colors' and 'faker', σαμποτάρει εσκεμμένα τον κώδικα τους, "σπάζοντας" χιλιάδες εφαρ #2
Κάποιος έπρεπε να το πει.
You thought there would be a funny slogan here.
You just fell for one of my classical pranks.
Bazinga
-
10-01-22, 14:17 Απάντηση: Ο developer των NPM libs 'colors' and 'faker', σαμποτάρει εσκεμμένα τον κώδικα τους, "σπάζοντας" χιλιάδες εφαρ #3
-
10-01-22, 14:32 Απάντηση: Ο developer των NPM libs 'colors' and 'faker', σαμποτάρει εσκεμμένα τον κώδικα τους, "σπάζοντας" χιλιάδες εφαρ #4
20 εκατομμύρια εβδομαδιαίες λήψεις γινόταν απο τις Fortune 500; Καταλαβαίνει πόσο απλό κόσμο γ@μσε;
-
10-01-22, 14:37 Απάντηση: Ο developer των NPM libs 'colors' and 'faker', σαμποτάρει εσκεμμένα τον κώδικα τους, "σπάζοντας" χιλιάδες εφαρ #5
Για να εκδικηθεί μερικές εταιρείες που δεν θα ιδρώσει καν το αυτί τους επηρέασε εκατομμύρια; Στην πυρά.
-
10-01-22, 15:41 Απάντηση: Ο developer των NPM libs 'colors' and 'faker', σαμποτάρει εσκεμμένα τον κώδικα τους, "σπάζοντας" χιλιάδες εφαρ #6
Ακούστηκε πάντως.
You thought there would be a funny slogan here.
You just fell for one of my classical pranks.
Bazinga
-
10-01-22, 15:48 Απάντηση: Ο developer των NPM libs 'colors' and 'faker', σαμποτάρει εσκεμμένα τον κώδικα τους, "σπάζοντας" χιλιάδες εφαρ #7
-
10-01-22, 15:55 Απάντηση: Ο developer των NPM libs 'colors' and 'faker', σαμποτάρει εσκεμμένα τον κώδικα τους, "σπάζοντας" χιλιάδες εφαρ #8
-
10-01-22, 16:16 Απάντηση: Ο developer των NPM libs 'colors' and 'faker', σαμποτάρει εσκεμμένα τον κώδικα τους, "σπάζοντας" χιλιάδες εφαρ #9
Χοντράδα υψίστου βαθμού μέν (και θα την πληρώσει), αλλά όσον αφορά τις μεγάλες εταιρείες έχει και τα δίκια του.
Απ'την άλλη, αν περίμενε ότι η δουλειά του αξίζει να αμείβεται με εξαψήφια συμβόλαια, γιατί mit licence?
Ας ξεκίναγε απ'την αρχή comercial.
Δεν μπορείς να τα έχεις όλα.
Για διπολική διαταραχή τον κόβω.Disclaimer:
Any views or opinions expressed represent the official view of the voices in my head.
-
10-01-22, 16:38 Απάντηση: Ο developer των NPM libs 'colors' and 'faker', σαμποτάρει εσκεμμένα τον κώδικα τους, "σπάζοντας" χιλιάδες εφαρ #10
-
10-01-22, 16:46 Απάντηση: Ο developer των NPM libs 'colors' and 'faker', σαμποτάρει εσκεμμένα τον κώδικα τους, "σπάζοντας" χιλιάδες εφαρ #11
-
10-01-22, 18:42 Απάντηση: Ο developer των NPM libs 'colors' and 'faker', σαμποτάρει εσκεμμένα τον κώδικα τους, "σπάζοντας" χιλιάδες εφαρ #12
Σορυ αλλά δεν θα έπρεπε η κάθε μεγάλη εταιρία να βλέπει τι ακριβώς κάνει ο κώδικας που τραβάει; Αν δηλαδή είχε όντως παραβιαστεί και ο κώδικας έκανε κάτι πολύ χειρότερο; Ποιος έχει την ευθύνη για το τελικό προϊόν;
-
10-01-22, 21:26 Απάντηση: Ο developer των NPM libs 'colors' and 'faker', σαμποτάρει εσκεμμένα τον κώδικα τους, "σπάζοντας" χιλιάδες εφαρ #13
-
10-01-22, 21:29 Απάντηση: Ο developer των NPM libs 'colors' and 'faker', σαμποτάρει εσκεμμένα τον κώδικα τους, "σπάζοντας" χιλιάδες εφαρ #14
-
10-01-22, 21:32 Απάντηση: Ο developer των NPM libs 'colors' and 'faker', σαμποτάρει εσκεμμένα τον κώδικα τους, "σπάζοντας" χιλιάδες εφαρ #15
Bookmarks