El excéntrico desarrollador detrás de dos bibliotecas de codificación NPM de código abierto inmensamente populares las corrompió recientemente con una serie de actualizaciones extrañas, una decisión que ha llevado a la albañilería de montones de proyectos que dependían de ellos para su apoyo.
Marak Squires es el creador detrás de las populares bibliotecas de JavaScript farsante y Colores—los cuales son instrumentos clave para los desarrolladores en sus diversos proyectos de codificación. Para darle una idea de cuán ampliamente utilizados son estos, Colores según se informa ve más que 20 millones de descargas a la semana y Faker obtiene alrededor de 2 millones. Baste decir que se usan mucho.
Sin embargo, Squires recientemente tomó la extraña decisión de arruinar todo eso. cuando ejecutó una serie de actualizaciones maliciosas que enloquecieron a las bibliotecas, llevándose consigo una gran cantidad de proyectos dependientes. En el caso de Colors, Squires envió una actualización que hizo que su código fuente entrara en un bucle repetitivo sin fin. Esto hizo que las aplicaciones que lo usaban emitieran el texto “Libertad, libertad, libertad”, seguido de un derroche de datos confusos y sin sentido, lo que paralizó efectivamente su funcionalidad. Con Faker, mientras tanto, se introdujo recientemente una nueva actualización que básicamente eliminó todo el código de la biblioteca. Squires anunció posteriormente que ya no mantendría el programa “gratis”.
Todo el episodio, que envió a los desarrolladores que confían en ambos programas al modo de pánico, parece haber sido observado por primera vez
Según esas fuentes, unos 20.000 proyectos de codificación dependen de estas bibliotecas para su trabajo y, como resultado de los compromisos recientes, muchos de ellos ahora han sido “bloqueados” de manera efectiva, o, en términos sencillos, están jodidos. (“Bricking” es el término técnico para cuando una pieza de hardware se corrompe debido a un problema de software u otro daño y se vuelve inutilizable).
Lo más desconcertante de todo este episodio es que no está del todo claro por qué Squires hizo esto. Algunos comentaristas en línea atribuyeron la decisión a un entrada en el blog publicó en 2020, en el que criticó el uso de código abierto de desarrolladores como él por parte de las grandes empresas. Es cierto que las corporaciones estadounidenses tienden a tomar atajos fiscales al explotar
De hecho, la forma en que Squires bombardeó sus bibliotecas parece desafiar una explicación simple. Por un lado, las confirmaciones que interfirieron con las bibliotecas iban acompañadas de archivos de texto extraños que, en el caso de la actualización de Faker, hacían referencia a Aaron Swartz. Swartz es un conocido programador informático que fue encontrado muerto en su apartamento en 2013 de un aparente suicidio. Squires también hizo una serie de otras referencias públicas extrañas a Swartz en el momento de las confirmaciones maliciosas.
“NPM ha vuelto a una versión anterior del paquete faker.js y Github ha suspendido mi acceso a todos los proyectos públicos y privados. Tengo 100s de proyectos. #AaronSwartz”, tuiteó Squires el 6 de enero. Días antes de que saliera la noticia sobre el robo masivo de ladrillos, Squires también tuiteó sobre Swartz y compartió un hilo de Reddit vinculando su muerte con la traficante sexual recientemente condenada Ghislaine Maxwell.
El giro reciente de los acontecimientos también provocó especulaciones en línea sobre si Squires es la misma persona que fue acusada. por imprudencia temeraria en 2020, cuando un incendio en un edificio de apartamentos de Queens propiedad de un “Marak Squires” llevó a los investigadores a descubrir un alijo de materiales caseros para fabricar bombas. Varias personas comentaron sobre la aparente conexión de Squires con este incidente el lunes: “Personalmente, comencé a eliminar todas las cosas de Marak de mis proyectos siempre que fue posible después de este incidente”. tuiteó Nathan Peck, desarrollador de AWS Cloud, en referencia al episodio de la “bomba”. “El tipo no es estable y no confiaría en su código para nada”. Sin embargo, Gizmodo no pudo encontrar ninguna corroboración independiente de que los Squires bomba y los Squires codificadores sean lo mismo.
En cualquier caso, es una historia muy extraña, y una que no se siente particularmente resuelta en este momento. Como tal, nos comunicamos con Squires para hacer comentarios y actualizaremos esta historia si responde.
.