投稿
  1. 谷达鸭首页
  2. 投稿

要求用户付费! 热门库作者搞破坏殃及数千项目

码农 投稿

NPM在线套件库两个受欢迎的函式库遭刻意破坏,原本媒体以为是黑客攻击事件,但追查发现凶手正是函式库作者本人,原因是作者为了生计决定不再无偿维护这些热门项目,使用的企业必须付费

要求用户付费! 热门库作者搞破坏殃及数千项目

Bleeping Computer报导,NPM (Node Package Manager)线上套件库两个受欢迎的函式库遭作者刻意破坏,使数千个使用这些函式库的应用程序无法使用或出现乱码。

两个出问题的函式库为colors及faker。 前者可为node.js console定义文字色彩,后者则可用于产生测试时的大量假数据。 两者下载次数各超过2,000万及280万,在GitHub上分别有4,500及1,000颗星。 此外与之相依的项目各有1.9万及2,500多个。 这两个库都是由Marak Squires(代号Marak)的开发人员开发维护。

但本周使用两个库的应用程序或系统出现怪事。 例如使用faker的AWS Cloud Development Kit显示「LIBERTY、LIBERTY、LIBERTY」的文字,并有一堆乱码。

要求用户付费! 热门库作者搞破坏殃及数千项目

原本媒体以为是黑客攻击事件,但追查发现,「凶手」正是函式库作者Marak本人。 一周前他在 colors.js v1.4.44-liberty-2中,在commit的代码加入了一无穷循环,这个循环在启动代码即立即执行,导致使用该函式库的Node.js服务器出现阻断服务(Denial of Service, DoS)情形、或是在使用color函式库的项目中显示无意义non-ASCII乱码(称为zalgo text)。 而在他更新到faker 6.6.6中,这个套件变成空的,里面没有源代码。

Marak随后也将相关的GitHub储存库移除,可能导致使用它项目的数千或数万项目人停止运作。

虽然乍看之下很恶意,但Marak在去年的一篇博客谈及以开源项目为生的困境。 他开发faker已经超过10年,大部份财富500大企业都有使用。 但这个大型项目维护很花力气,但是开发团队仅获得开源社群及GitHub赞助商支持,以获得一些捐赠费用,没有任何企业付费。 他指出,和大多数人一样,他也有家要养,有账单要付。 他决定要针对faker项目收费以支持未来开发。

要求用户付费! 热门库作者搞破坏殃及数千项目

这名开发人员本周表示,不愿再无偿维护这些函式库,服务财富500大企业或小型企业。 他要求用户付每年6位数的合约,否则就把这些项目分叉出去请别人来开发。 底下留言者也有人表示支持与理解。

要求用户付费! 热门库作者搞破坏殃及数千项目

媒体snyk报道,Marak另外还参与了约170项NPM项目套件,因此类似的问题可能还会持续发生。

(0)
打赏 微信扫一扫 微信扫一扫
码农码农认证作者
0 0

相关推荐

发表评论

登录后才能评论