NPM

Utvikler saboterte egne, mye brukte Javascript-biblioteker

Kan skyldes et ønske om å få betalt for arbeidet.

Utsnitt av kildekoden til NPM-biblioteket colors.js.
Utsnitt av kildekoden til NPM-biblioteket colors.js. Foto: Harald Brombach
Harald BrombachHarald BrombachNyhetsleder
10. jan. 2022 - 13:00

I slutten av forrige uke opplevde mange utviklere at applikasjonene deres mer eller mindre har sluttet å fungere, dersom de er basert på de Javascript-baserte NPM-bibliotekene colors eller faker. Dette skriver Bleeping Computer

Tusenvis av prosjekter avhenger av disse bibliotekene, og begge lastes ned flere millioner ganger i uka fra NPM, som eies av Github.

Årsaken til problemene er at utvikleren som står bak bibliotekene, Marak Squires, med hensikt har oppdatert dem med kode som blant annet kjører en uendelig løkke som skriver uforståelig tekst i konsollen til applikasjonene. Det er versjon v1.4.44-liberty-2 av colors.js og versjon 6.6.6 av faker.js som skal være berørt.

En form for politisk aksjon?

Ifølge Bleeping Computer skal Squires allerede i november 2020 uttrykt irritasjon over at store, kommersielle virksomheter benytter hans gratis arbeid uten å kompensere ham for det. Han fikk mye moralsk støtte, men angivelig lite penger, i etterkant av dette. 

Om dette er årsaken til sabotasjen i forrige uke, er uklart. I Readme-filen til faker kan man lese teksten «What really happened with Aaron Swartz?» Swartz var en utvikler og hacktivist som begikk selvmord i 2013. Allerede som 14-åring deltok han arbeidet med å standardisere webfeed-formatet RSS. Han var også med på å etablere Reddit.

Etter hans død har det eksistert en konspirasjonsteori om at han ble drept av myndighetene. En mer sannsynlig teori er at Swartz begikk selvmord på grunn av USAs justisdepartements siktelser mot ham etter en politisk nedlastingsaksjon

Utestengt

Uansett hva årsaken til sabotasjen til Squires, har den blitt møtt med både støtte og kritikk. Kritikken har blant annet gått ut på at sabotasjen har rammet langt flere enn de store pengemaskinene Squires i særlig grad har ønsket kompensasjon fra. 

Heldigvis er det tilsynelatende relativt enkelt for de berørte utviklerne å løse problemet, ved å rulle tilbake til en eldre versjon av de to bibliotekene. 

Om målet til Squires faktisk har vært å få kompensasjon for arbeidet han legger ned i utviklingen av bibliotekene, kan aksjonen slå begge veier. Mens noen sikkert vil sende ham en slant, vil andre nå kanskje se etter alternativer til de to bibliotekene. 

Noen som ikke har satt pris på aksjonen til Squires, er Microsoft-eide Github, som i forrige uke skal ha stengt hele kontoen hans. Tilknyttet den kontoen skal Squires også ha mange andre prosjekter som ikke har noe med colors.js og faker.js å gjøre. Disse har han nå mistet tilgangen til, noe som demonstrerer risikoen ved utelukkende å lagre data hos én aktør som etter eget forgodtbefinnende kan stenge kontoene til brukere uten forvarsel.

Del
Kommentarer:
Du kan kommentere under fullt navn eller med kallenavn. Bruk BankID for automatisk oppretting av brukerkonto.