З’ясувалося, що розробник двох бібліотек Марак Сквайрс випустив зловмисну версію на GitHub. Бібліотека faker.js генерує випадкові дані (наприклад, для тестування роботи додатків), а colors.js додає відображення кольорових символів у консоль. Але після оновлення замість нормальної роботи бібліотеки почали нескінченно виводити дивні літери та символи.
Зіпсовані бібліотеки є досить популярними. Наприклад, faker.js щотижня завантажується на NPM майже 2,5 млн разів, а color.js – близько 22,4 млн разів на тиждень. Таким чином, наслідки цих дій Марака Сквайрса потенційно можуть торкнутися мільйонів проектів і мати далекосяжні наслідки.
Після перших повідомлень про проблему Сквайрс розмістив публікацію на GitHub. У ній говорилося, що вже відомо про «проблему zalgo», що відноситься до появи випадкових символів, і ведуться роботи з її усунення. Але незабаром обліковий запис Сквайрс заблокували на GitHub, про що він повідомив у Twitter. Але, схоже, надалі блокування було знято. Судячи з журналу змін бібліотек faker.js і colors.js, Сквайрс випустив версію faker.js 4 січня, був заблокований на платформі 6 січня, а збійна версія colors.js з’явилася 7 січня. Незрозуміло, чи знову заблоковано обліковий запис Сквайрса.
Проте, на цьому історія не закінчується. Ресурс Bleeping Computer знайшов одну із публікацій Сквайрса на GitHub, датовану листопадом 2020 року. У цій публікації він заявляє, що більше не хоче робити безкоштовну роботу.
За всієї поваги я більше не збираюся підтримувати Fortune 500 (та інші компанії меншого розміру) своєю безкоштовною роботою», — каже він. “Сприймайте це як можливість надіслати мені шестизначний річний контракт або зробити відгалуження проекту, щоб хтось інший працював над ним”.
Таким чином, крок Сквайрса можна сприймати як спробу привернути увагу до моральної та фінансової дилеми розробки відкритого вихідного коду. Величезна кількість сайтів, програмного забезпечення та програм покладаються на розробників, що пропонують проекти з відкритим вихідним кодом. На основі таких проектів створюються різні необхідні інструменти та компоненти. І все це – безкоштовно.
Схоже, що бібліотека color.js була оновлена до робочої версії, а бібліотеки faker.js, як і раніше, є дефектною. Обминути проблему з faker.js можна, відкотившись до попередньої версії (5.5.3).