Marak Squires, uno sviluppatore open source attivo su GitHub, ha volutamente distribuito un aggiornamento che corrompe due note librerie impiegate da migliaia di progetti in tutto il mondo andando a causare numerosi problemi. L’intento è di opporsi alle tante società, anche quelle di maggiori rilievo, che sfruttano il codice open source nei loro progetti che poi vanno a fatturare milioni di dollari.
Corrotte le librerie open source colors.js e faker.js
Più precisamente, le due librerie coinvolte sono colors.js, che serve ad aggiungere i colori alle console javascript e che è stata scaricata oltre 23 milioni di volte solo sulla piattaforma NPM, e faker.js, che serve a generare dati falsi per delle demo e che è stata scaricata circa 2,4 milioni di volte. Marak Squires avrebbe quindi aggiornato il codice delle due librerie in modo tale che venga mostrata la bandiera statunitense in caratteri non ASCII. Il testo viene introdotto dalle parole “LIBERTY LIBERTY LIBERTY”.
Nel file Leggimi della libreria faker.js, inoltre, lo sviluppatore ha aggiunto la domanda “Cosa è davvero accaduto ad Aaron Swartz”. Per chi non lo sapesse o non lo ricordasse, Aaron Swartz era un’attività del software libero e uno sviluppatore. Ad aprile 2011 è stato accusato di aver scaricato 4,8 milioni di articoli dall’archivio accademico digitale JSTOR con l’intenzione di distribuirli gratuitamente. Venne poi liberato su cauzione, ma rischiava fino a 50 anni di carcere. Dichiaratosi sempre innocente, si è suicidato nel 2013.
L’account GitHub di Marak Squires è stato sospeso il 6 gennaio, dopo l’integrazione dell’aggiornamento corrotto nella libreria faker.js. Durante lo stesso giorno su NPM è stata ripristinata la versione precedente di faker.js priva dell’aggiornamento “liberty”. Il 7 gennaio ha poi introdotto la nuova versione di colors.js, per cui non è chiaro l’account risulti ancora sospeso o meno.