儘管開源項目有着“眾人拾柴火焰高”的特性,但也難防有人使壞。Bleeping Computer 報道稱:近日一位開發者似乎故意破壞了 GitHub 和軟件註冊 npm 上的一對開源庫(faker.js 和 colors.js)。由於成千上萬的用戶依賴這些庫,本次惡意更新導致所有相關項目受到影響。
使用遭到破壞的版本,會導致應用程序無限輸出奇怪的字母與符號。從第三行文本開始,上面會呈現“LIBERTY LIBERTY LIBERTY”。
儘管 color.js 看似已更新到新版本,但 faker.js 可能還需再等待一段時間,着急的朋友可嘗試降級到先前的 5.5.3 版本。
此外 Bleeping Computer 發現這兩個庫的開發者(Marak Squires)向 colors.js 引入了惡意提交,添加了所謂的 American flag 模塊,並推出了可觸發同樣破壞性事件的 6.6.6 版 faker.js 庫。
更奇怪的是,faker.js 的自述文件,也被改成了亞倫·斯沃茨(Aaaron Swartz)的名字。作為一位傑出的開發者,其幫助建立了 Creative Commons、RSS 和 Reddit 。
遺憾的是,2011 年的時候,其被指控竊取學術數據庫 JSTOR 中的文件(本着知識理應免費分享的理念),後於 2013 年以自殺告終,但圍繞此事的陰謀論一直沒有停歇。
由於 faker.js 在 npm 上的每周下載量接近 250 萬、colors.js 亦有約 2240 萬,本次破壞事件還是給開源項目敲響了安全警鐘。
深挖之後,有人將問題源頭指向了 2020 年 11 月起在 GitHub 上發表的一篇帖子。
Squires 聲稱不想自己的努力再被財富 500 強(其已其它小企業)白嫖,並希望拿到一份年薪六位數的合同。或者分叉項目,並讓其他人參與其中。