به طور عمدی کتابخانه جاوا اسکریپت را آلوده می کند و هزاران برنامه را غیرفعال می کند – Zomit

هفته گذشته، میدان های مارکتوسعه دهنده دو کتابخانه بزرگ جاوا اسکریپت، با بیش از 21000 برنامه کاربردی وابسته و 22 میلیون بارگیری هفتگی، یک سال بعد دو پروژه را به روز کرد. با این حال، به‌روزرسانی‌ها حاوی کد مخربی بودند که با ایجاد یک حلقه بی‌نهایت، دو برنامه مرتبط با کتابخانه را از کار انداختند و زنجیره‌های بی‌پایانی از کلمات نامفهوم را ایجاد کردند که با سه خط کلمه شروع می‌شد: «آزادی» به معنای «آزادی».

این خرابکاری عمدی موج عظیمی از هرج و مرج و وحشت را در سازمان توسعه دهندگان ایجاد کرده است که اکنون برنامه های کاربردی آن کاهش یافته و همه در تلاش هستند تا پروژه های آسیب دیده خود را به هر طریق ممکن نجات دهند.

داستان دقیقا در مورد چه بود؟

Marak Squires خالق دو کتابخانه محبوب جاوا اسکریپت منبع باز به نام های Faker و Colors است که ابزارهای رایگان و مفیدی را در اختیار توسعه دهندگان در سراسر جهان قرار می دهد. کتابخانه faker.js که داده های ساختگی را برای مرورگرهای آزمایشی تولید می کند، بیش از 2500 برنامه کاربردی در هفته دارد..5 میلیون دانلود در وب سایت NPM زیر مجموعه ای از GitHub بود. کتابخانه Colors.js که رنگ ها را به کنسول جاوا اسکریپت اضافه می کند، حدود 22 است.هر هفته 4 میلیون بار دانلود می شود و بیش از 19000 پروژه به آن پیوست شده است.

Squares هفته گذشته یک ستاره دنباله دار مخرب را به عنوان “ماژول جدید برای پرچم آمریکا” به colors.js اضافه کرد و سال گذشته پس از ایجاد هیچ تغییری در این کتابخانه ها، کتابخانه faker.js را به نسخه 6.6.6 به روز کرد. به دلیل این به روز رسانی فاجعه بار، توسعه دهندگانی که از کد این دو کتابخانه برای پروژه های خود استفاده می کردند، دچار مشکل شدند و برنامه های آنها ناگهان شروع به ایجاد رشته های بی پایان از کلمات مبهم با سه خط تکراری کلمه “liberty” به معنای “آزادی” کردند.

انگیزه میدان های مراک پشت این خرابکاری عمدی چه بود؟

قصد Square برای آلوده کردن کتابخانه با کدهای مخرب و آزار هزاران توسعه‌دهنده نامشخص است. اما شما می توانید حدس بزنید. برنامه نویس در فایل readme با به روز رسانی پرسید: “آقا آرون سوارتز “دقیقا چه اتفاقی افتاد؟”

آرون سوارتز او که برای برخی با نام “پسر اینترنت” شناخته می شود، یک برنامه نویس با استعداد بود که در 14 سالگی به توسعه استانداردهای فید RSS کمک کرد. او همچنین در طراحی معماری Open Library، راه‌اندازی Creative Commons غیرانتفاعی و توسعه پلتفرم اینفوگرافیک نقش داشت. پلتفرمی که بعداً با Reddit ادغام شد.

علاوه بر این، آرون یک هکریست بود که به آزادی اطلاعات در اینترنت اعتقاد داشت. بر همین اساس، در سال 2010 با اتصال به شبکه MIT و استفاده از اسکریپت، میلیون ها مقاله پولی را از JSTOR که آرشیو دیجیتال مجلات و مجلات علمی است به صورت غیرقانونی دانلود و به صورت رایگان در سایر وب سایت ها قرار داد.

هارون یک ماه قبل از محاکمه خودکشی کرد. دادگاه او را حداکثر یک میلیون دلار جریمه نقدی و در صورت محکومیت به بیش از 35 سال زندان محکوم کرد. با این حال، “دقیقا برای سر آرون شوارتز چه اتفاقی افتاد؟” مارک اسکوایرز یکی از افرادی است که فکر می کند مرگ آرون یک خودکشی نبوده است.

داخل اسکوئرها توییت او این سوال را تکرار کرد و به صفحه‌ای در Reddit پیوند داد که در آن کاربر ادعا می‌کرد سوارتز به دلیل یافتن مطالب سوء استفاده جنسی از کودکان در سرور MIT کشته شده است. یکی از پست های این صفحه را که اکنون حذف شده است بخوانید:

همه دست اندرکاران پرونده شوارتز توجه خود را به این واقعیت جلب می کنند که او در اقدامی قهرمانانه برای افشای انحرافات جنسی که در قلب و ذهن نخبگان جهان رخنه کرده است، جان خود را از دست داد.

جدای از آرون شوارتز و تئوری های توطئه، برخی در اینترنت حدس می زنند که مارک اسکوایرز احتمالا برنامه نویس آپارتمان او بوده است که در سال 2020 آتش گرفت. .

یکی از کاربران در توییتنوشته است که پس از این اتفاق، او تمام کد مربع را از پروژه های خود حذف کرد. چون این فرد «ثبات فکری» ندارد. اگرچه شواهد محکمی برای حمایت از رابطه این دو وجود ندارد، اما او یک ماه پس از وقوع آتش سوزی خود را کشت توییت او نوشت: «تمام وسایلم در آتشی که خانه ام را فرا گرفت گم شد» و از پیروانش درخواست کمک مالی کرد.

با این حال، داستان به همین جا ختم نمی شود. اسکوایرز در مقاله ای در گاتاب در نوامبر 2020 اعتراف کرد که دیگر نمی خواهد به صورت رایگان کار کند:

با احترام، من دیگر نمی خواهم از Fortune 500 و سایر شرکت های کوچک برای کارهای آزاد خود حمایت کنم. یا یک قرارداد سالانه شش رقمی با من امضا کنید یا اجازه دهید شخص دیگری روی پروژه کار کند.

Squires با این حرکت جسورانه به دنبال حل معضل اخلاقی و اقتصادی پروژه های منبع باز بود. بسیاری از وب‌سایت‌ها، نرم‌افزارها و برنامه‌های کاربردی به پروژه‌های کتاب درسی برای توسعه ابزارها و سایر ملزومات کاملاً رایگان متکی هستند. علاوه بر این، بسیاری از توسعه دهندگان به طور داوطلبانه این پروژه ها را به صورت شبانه روزی توسعه می دهند و مشکلات و آسیب پذیری هایی را حل می کنند که گاهی اوقات کل اینترنت را تا حد آسیب پذیری Log4j گیج می کند.

معضل پروژه های منبع باز

شرکت‌های بزرگ و انتفاعی مانند Fortune 500 که Squares به آنها اشاره کرد، از اکوسیستم‌های منبع باز بدون هیچ هزینه‌ای استفاده می‌کنند و از توسعه‌دهندگانی حمایت نمی‌کنند که خستگی‌ناپذیر روی این پروژه‌ها کار می‌کنند.

این واقعیت که یک توسعه دهنده می تواند چنین مشکل بزرگی را برای طیف گسترده ای از برنامه ها و شرکت ها ایجاد کند، ضعف اساسی ساختار پلتفرم منبع باز و منبع باز را آشکار می کند. اکنون آسیب پذیری های عمومی را به اشتباهات عمدی توسعه دهندگان اضافه کنید که از دید توسعه دهندگان پنهان است.

در این صورت درک بهتری از میزان در معرض خطر بودن این اکوسیستم با تمام مزایای آن دارید. شاید رویداد بعدی ابعاد گسترده تری داشته باشد. اما قبل از آن، آیا کسی راه حلی اساسی برای مشکلات پلتفرم های متن باز در نظر گرفته است؟