به طور عمدی کتابخانه های جاوا اسکریپت را آلوده می کند و هزاران برنامه را غیرفعال می کند – Zomit

هفته گذشته، سربازان مارکتوسعه دهنده دو کتابخانه اصلی جاوا اسکریپت، با بیش از 21000 برنامه کاربردی وابسته و 22 میلیون بارگیری هفتگی، هر دو پروژه را یک سال بعد به روز کرد. با این حال، به‌روزرسانی‌ها حاوی کدهای مخربی بودند که با ایجاد یک حلقه بی‌نهایت، برنامه‌های مرتبط با دو کتابخانه را از کار انداختند و زنجیره‌های بی‌پایانی از کلمات نامفهوم را ایجاد کردند که با سه خط کلمه «لیبرتی» به معنای «آزادی» شروع می‌شد.

این خرابکاری عمدی باعث ایجاد موج عظیمی از هرج و مرج و وحشت در انجمن توسعه دهندگانی شد که برنامه های کاربردی آنها کار نمی کرد و همه سعی کردند پروژه های آسیب دیده خود را به هر طریقی نجات دهند.

داستان دقیقا در مورد چه بود؟

Marak Squires خالق دو کتابخانه محبوب جاوا اسکریپت منبع باز به نام های Faker و Colors است که ابزارهای مهم و مفیدی را به صورت رایگان در اختیار توسعه دهندگان در سراسر جهان قرار می دهد. کتابخانه faker.js که داده های جعلی را برای مرورگرهای آزمایشی با بیش از 2500 برنامه وابسته هر هفته تولید می کند.?5 میلیون بارگیری در npm زیر مجموعه ای از GitHub بود. کتابخانه Colors.js که به کنسول‌های جاوا اسکریپت رنگ اضافه می‌کند، حدود ۲۲ است?هفته ای 4 میلیون دانلود داشت و بیش از 19000 پروژه با آن همراه است.

Squares هفته گذشته یک comite مخرب را به شکل “ماژول جدید پرچم ایالات متحده” به Colors.js اضافه کرد و سال گذشته پس از ایجاد هیچ تغییری در آن کتابخانه ها، faker.js را به نسخه 6.6.6 به روز کرد. با این به‌روزرسانی مخرب، توسعه‌دهندگانی که از کد این دو کتابخانه برای پروژه‌های خود استفاده می‌کردند، دچار مشکل شدند و برنامه‌های کاربردی آن‌ها ناگهان شروع به تولید رشته‌های بی‌پایانی از کلمات مبهم حاوی سه خط تکراری کلمه «LIBERTY» به معنای «آزادی» کردند.

انگیزه اسکوایرهای مراکش از این خرابکاری عمدی چه بود؟

انگیزه اسکوایرز برای آلوده کردن کتابخانه هایش با کدهای مخرب و آزار و اذیت هزاران برنامه نویس نامشخص است. اما شما می توانید حدس بزنید. با به روز رسانی، برنامه نویس در فایل readme پرسید: «آقا آرون سوارتز “دقیقا چه اتفاقی افتاد؟”

آرون سوارتز او که برخی او را به عنوان “پسر اینترنت” می شناسند، برنامه نویس نابغه ای بود که در 14 سالگی در توسعه استاندارد RSS نقش داشت. او همچنین نقش مهمی در طراحی معماری کتابخانه باز، راه‌اندازی Creative Commons غیرانتفاعی و توسعه پلتفرم Infogami ایفا کرد. پلتفرمی که بعداً با Reddit ادغام شد.

علاوه بر این، آرون یک هکریست بود که به آزادی اطلاعات در اینترنت اعتقاد داشت. به همین دلیل در سال 2010 با عضویت در شبکه MIT و استفاده از اسکریپت، میلیون ها مقاله پولی را از JSTOR، آرشیو دیجیتال مجلات و مجلات علمی، به صورت غیرقانونی دانلود کرد تا به صورت رایگان در وب سایت های دیگر ارسال کند.

هارون یک ماه قبل از محاکمه خودکشی کرد. دادگاه او را به حداکثر یک میلیون دلار جریمه نقدی و بیش از 35 سال زندان در صورت محکومیت محکوم کرد. با این حال، این سوال که “دقیقا برای سر آرون سوارتز چه اتفاقی افتاد؟” به نظر می رسد مارک اسکوایرز یکی از افرادی باشد که معتقدند مرگ هارون یک خودکشی نبوده است.

اسکوایر در توییت او همچنین این سوال را تکرار کرد و به صفحه‌ای در Reddit متصل شد که در آن کاربری ادعا کرد سوارتز به دلیل کشف محتوای سوء استفاده جنسی از کودکان در سرورهای MIT کشته شده است. یکی از پست های این صفحه که حذف شده بود این بود:

همه دست اندرکاران پرونده سوارتز توجه خود را به این واقعیت جلب می کنند که او در اقدامی قهرمانانه برای افشای انحرافات جنسی که در قلب و ذهن نخبگان جهان رخنه کرده است، جان خود را از دست داد.

جدای از آرون سوارتز و تئوری های توطئه، برخی در اینترنت حدس می زنند که مارک اسکوایرز ممکن است توسعه دهنده آپارتمان او باشد که در سال 2020 آتش گرفت.

یکی از کاربران در توییت او نوشت که پس از این اتفاق، تمام کدهای اسکوایر را از پروژه های خود حذف کرد. زیرا این فرد «ثبات فکری» ندارد. در حالی که هیچ مدرک قوی برای حمایت از ارتباط بین آنها وجود ندارد، خود Marak یک ماه پس از آتش سوزی بود توییت او نوشت: «تمام وسایلم را در آتش سوزی در خانه ام از دست دادم» و از هوادارانش درخواست کمک مالی کرد.

اما داستان به همین جا ختم نمی شود. اسکوایرز در مقاله ای در گاتاب در نوامبر 2020 اعتراف کرد که دیگر نمی خواهند به صورت رایگان کار کنند:

با احترام، دیگر نمی‌خواهم از Fortune 500 و سایر شرکت‌های کوچکتر با کار آزاد خود حمایت کنم. یا من را برای یک قرارداد سالانه شش رقمی امضا کنید یا اجازه دهید شخص دیگری روی پروژه کار کند.

Squires با این حرکت شجاعانه سعی کرد معضل اخلاقی و مالی پروژه های منبع باز را برجسته کند. بسیاری از وب‌سایت‌ها، نرم‌افزارها و برنامه‌ها برای ایجاد ابزارها و سایر اجزای ضروری کاملاً رایگان به پروژه‌های کتاب درسی متکی هستند. علاوه بر این، بسیاری از توسعه دهندگان به طور داوطلبانه این پروژه ها را به صورت شبانه روزی توسعه می دهند و مشکلات و آسیب پذیری هایی را که گاهی کل اینترنت را تا حد آسیب پذیری Log4j گمراه می کند، حل می کنند.

معضل پروژه های منبع باز

شرکت‌های بزرگ و پرسود مانند Fortune 500 که Squires ذکر کرده است، از اکوسیستم‌های منبع باز به صورت رایگان استفاده می‌کنند و از توسعه‌دهندگانی که خستگی ناپذیر روی این پروژه‌ها کار می‌کنند، حمایت مالی نمی‌کنند.

این واقعیت که یک توسعه‌دهنده می‌تواند چنین مشکل بزرگی را برای چنین طیف گسترده‌ای از برنامه‌ها و مشاغل ایجاد کند، به وضوح ضعف اساسی چارچوب پلتفرم‌های منبع باز و رایگان را نشان می‌دهد. اکنون آسیب پذیری های رایج را در اشکالات عمدی توسعه دهندگان اضافه کنید که از دید توسعه دهندگان پنهان می مانند.

در این شرایط کاملاً متوجه می شوید که این اکوسیستم با همه مزیت هایش چقدر در معرض خطر است. شاید حادثه بعدی ابعاد بسیار گسترده تری داشته باشد. اما آیا قبلاً کسی به راه حل اساسی برای مشکلات پلتفرم های منبع باز فکر کرده است؟