Un développeur open-source vient de causer beaucoup de chaos en détruisant deux de ses propres applications

Jan 11 2022

Le développeur excentrique à l'origine de deux bibliothèques de codage NPM open source immensément populaires les a récemment corrompues avec une série de mises à jour bizarres, une décision qui a conduit à la mise en brique de nombreux projets qui comptaient sur eux pour le support. Marak Squires est le créateur derrière le les bibliothèques JavaScript populaires Faker et Colors, qui sont des instruments clés pour les développeurs dans leurs divers projets de codage.

Marak Squires est le créateur des bibliothèques JavaScript populaires Faker et Colors , qui sont des instruments clés pour les développeurs dans leurs divers projets de codage. Pour vous donner une idée de leur utilisation répandue, Colors verrait plus de 20 millions de téléchargements par semaine et Faker en obtiendrait environ 2 millions. Qu'il suffise de dire qu'ils sont très utilisés.

Cependant, Squires a récemment pris la décision bizarre de gâcher tout cela lorsqu'il a exécuté un certain nombre de mises à jour malveillantes qui ont détraqué les bibliothèques, emportant avec elles de nombreux projets dépendants. Dans le cas de Colors, Squires a envoyé une mise à jour qui provoquait une boucle répétitive sans fin de son code source. Cela a amené les applications qui l'utilisaient à émettre le texte "Liberty Liberty Liberty", suivi d'une folie de données dénuées de sens et brouillées, paralysant efficacement leur fonctionnalité. Pendant ce temps, avec Faker, une nouvelle mise à jour a été récemment introduite qui a pratiquement détruit tout le code de la bibliothèque. Squires a par la suite annoncé qu'il ne maintiendrait plus le programme "gratuitement".

L'épisode entier, qui a envoyé les développeurs qui s'appuient sur les deux programmes en mode panique, semble avoir été observé pour la première fois par des chercheurs de Snyk , une société de sécurité open source, ainsi que de BleepingComputer .

Selon ces sources, quelque 20 000 projets de codage s'appuient sur ces bibliothèques pour leur travail et, à la suite des récentes validations, beaucoup d'entre eux ont maintenant été effectivement «briqués» - ou, en termes simples, ils sont foutus. ("Bricking" est le terme technique désignant le moment où un élément matériel est corrompu via un problème logiciel ou d'autres dommages et devient inutilisable.)

La chose la plus déconcertante à propos de tout cet épisode est que la raison pour laquelle Squires a fait cela n'est pas tout à fait claire. Certains commentateurs en ligne ont attribué cette décision à un article de blog qu'il a publié en 2020, dans lequel il s'insurgeait contre l'utilisation par les grandes entreprises du code open source de développeurs comme lui. Il est vrai que les entreprises américaines ont tendance à couper les coins budgétaires en exploitant des outils de codage disponibles gratuitement (il suffit de regarder la récente débâcle log4j , par exemple), cependant, si vous êtes un codeur open-source, vous le sauriez apparemment et vous vous y attendriez.

En effet, la manière dont Squires a blitzé ses bibliothèques semble défier toute explication simple. D'une part, les commits qui perturbaient les bibliothèques étaient accompagnés de fichiers texte étranges qui, dans le cas de la mise à jour de Faker, faisaient référence à Aaron Swartz. Swartz est un programmeur informatique bien connu qui a été retrouvé mort dans son appartement en 2013 d'un suicide apparent . Squires a également fait un certain nombre d'autres références publiques étranges à Swartz au moment des commits malveillants.

« NPM est revenu à une version précédente du package faker.js et Github a suspendu mon accès à tous les projets publics et privés. J'ai des centaines de projets. #AaronSwartz », a tweeté Squires le 6 janvier. Quelques jours avant l'annonce du briquetage de masse, Squires a également tweeté à propos de Swartz et partagé un fil Reddit liant sa mort à la trafiquante sexuelle récemment condamnée Ghislaine Maxwell.

La tournure récente des événements a également suscité des spéculations en ligne quant à savoir si Squires est la même personne qui a été accusée de mise en danger imprudente en 2020, lorsqu'un incendie dans un immeuble d'appartements du Queens appartenant à un "Marak Squires" a conduit les enquêteurs à découvrir une cachette de bombe artisanale -fabrication de matériaux. Un certain nombre de personnes ont commenté le lien apparent de Squires avec cet incident lundi : « Personnellement, j'ai commencé à supprimer tous les éléments de Marak de mes projets chaque fois que possible après cet incident », a tweeté Nathan Peck, un développeur chez AWS Cloud, en référence au « épisode de la bombe ». "Le mec n'est pas stable, et je ne ferais confiance à son code en rien." Cependant, Gizmodo n'a pas été en mesure de trouver une corroboration indépendante que les bombes-Squires et coding-Squires sont une seule et même chose.

En tout cas, c'est une histoire très étrange - et qui ne semble pas particulièrement résolue à ce stade. En tant que tel, nous avons contacté Squires pour obtenir des commentaires et mettrons à jour cette histoire s'il répond.