Desarrollador de código abierto corrompe bibliotecas ampliamente utilizadas, afectando toneladas de proyectos


Un desarrollador parece haber corrompido a propósito un par de bibliotecas de código abierto en GitHub y el registro de software npm — «farsante.js» y «colores.js” — del que dependen miles de usuarios, lo que hace que cualquier proyecto que contenga estas bibliotecas sea inútil, según lo informado por computadora pitido. Si bien parece que color.js se ha actualizado a una versión funcional, faker.js aún parece estar afectado, pero el problema se puede solucionar cambiando a una versión anterior (5.5.3).

computadora pitido descubrió que el desarrollador de estas dos bibliotecas, Marak Squires, introdujo un compromiso maligno (una revisión de archivo en GitHub) en colors.js que agrega «un nuevo módulo de bandera americana”, así como desplegado versión 6.6.6 de faker.js, desencadenando el mismo giro destructivo de los acontecimientos. Las versiones saboteadas hacen que las aplicaciones emitan infinitamente letras y símbolos extraños, comenzando con tres líneas de texto que dicen «LIBERTAD LIBERTAD LIBERTAD».

Aún más curioso, el archivo Léame faker.js también se ha cambiado a «¿Qué pasó realmente con Aaron Swartz?» Swartz fue un destacado desarrollador que ayudó a establecer Creative Commons, RSS y Reddit. En 2011, Swartz fue acusado de robar documentos de la base de datos académica JSTOR con el fin de hacerlos de libre acceso, y luego se suicidó en 2013. La mención de Squires de Swartz podría referirse a teorías de conspiración en torno a su muerte.

Como ha sido señalado por computadora pitido, a número de usuarios —incluidos algunos que trabajan con el kit de desarrollo en la nube de Amazon— recurrieron al sistema de seguimiento de errores de GitHub para expresar sus preocupaciones sobre el problema. Y desde farsante.js ve casi 2,5 millones de descargas semanales en npm, y color.js obtiene alrededor de 22,4 millones de descargas por semana, los efectos de la corrupción probablemente sean de gran alcance. Para el contexto, faker.js genera datos falsos para demostraciones, color.js agrega colores a las consolas de JavaScript.

En respuesta al problema, Squires publicó una actualización en GitHub para abordar el «problema de zalgo», que se refiere al texto defectuoso que producen los archivos corruptos. “Nos ha llamado la atención que hay un error de zalgo en la versión de colores v1.4.44-liberty-2”, escribe Squires de una manera presumiblemente sarcástica. “Sepan que estamos trabajando en este momento para solucionar la situación y pronto tendremos una resolución”.

Dos días después de enviar la actualización corrupta a faker.js, Squires luego envió un tweet en el que señalaba que había sido suspendido de GitHub, a pesar de almacenar cientos de proyectos en el sitio. Sin embargo, a juzgar por el registro de cambios tanto en faker.js como en colors.js, parece que su suspensión ya se ha levantado. Squires presentó el compromiso faker.js el 4 de enero, fue prohibido el 6 de enero y no presentó la versión «libertad» de colors.js hasta el 7 de enero. No está claro si la cuenta de Squires ha sido prohibida nuevamente. el borde contactó a GitHub con una solicitud de comentarios, pero no recibió respuesta de inmediato.

Sin embargo, la historia no termina ahí. computadora pitido desenterró uno de Publicaciones de Squires en GitHub de noviembre de 2020, en el que declara que ya no quiere hacer trabajo libre. “Respetuosamente, ya no voy a apoyar a Fortune 500 (y otras empresas de menor tamaño) con mi trabajo gratuito”, dice. “Aproveche esto como una oportunidad para enviarme un contrato anual de seis cifras o bifurcar el proyecto y hacer que alguien más trabaje en él”.

El movimiento audaz de Squires llama la atención sobre el dilema moral y financiero del desarrollo de código abierto, que probablemente era el objetivo de sus acciones. Una gran cantidad de sitios web, software y aplicaciones dependen de desarrolladores de código abierto para crear herramientas y componentes esenciales, todo de forma gratuita. Es el mismo problema que hace que los desarrolladores no remunerados trabajen incansablemente para solucionar los problemas de seguridad en su software de código abierto, como el Susto desgarrador en 2014 que afectó a OpenSSL y al más reciente Vulnerabilidad de Log4Shell encontrada en log4j eso dejó a los voluntarios luchando por arreglarlo.



Fuente: The Verge

Compartir:

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Esta web utiliza cookies propias y de terceros para su correcto funcionamiento y para fines analíticos y para fines de afiliación y para mostrarte publicidad relacionada con sus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación. Al hacer clic en el botón Aceptar, acepta el uso de estas tecnologías y el procesamiento de tus datos para estos propósitos. Ver Política de cookies
Privacidad