Insurrection 2.0 : un contributeur open source sabote ses propres projets et casse ainsi des milliers d'applications
mar, 11/01/2022 - 16:05
Il s'appelle Marak Squires. Il développe deux bibliothèques de l'écosystème NPM, à savoir color.js et faker.js. Color.js est téléchargée plus de 20 millions de fois par semaine uniquement sur npm et 19 000 projets dépendent d'elle. Faker.js compte plus de 2,8 millions de téléchargements sur npm. Le code source de ces deux bibliothèques est sur GitHub. Et voilà que Marek Squires y a poussé plusieurs commits malveillants.
Du coup, les utilisateurs de ces bibliothèques ont eu la mauvaise surprise de voir leurs applications imprimer en boucles infinies le message LIBERTY LIBERTY LIBERTY parmi des flots de caractères incompréhensibles.
Capture : Bleeping computer
Des milliers d'applications ont ainsi été cassées, jusqu'au kit de développement cloud d'Amazon, aws-cdk.
Pourquoi Marak Squires a-t-il agit ainsi ? Il ne s'est pas expliqué. Mais il apparaît qu'en 2020, il avait déjà manifesté son ras-le-bol de travailler gratuitement pour de grosses entreprises qui bénéficient de ses projets. Ainsi, il avait écrit :
Respectueusement, je ne vais plus soutenir les entreprises Fortune 500 (et d'autres entreprises de plus petite taille) avec mon travail gratuit.
Il n'y a pas grand chose d'autre à dire.
Profitez-en pour m'envoyer un contrat annuel à six chiffres ou pour forker le projet et demander à quelqu'un d'autre de travailler dessus.
Marak Squires a également modifié le fichier README du projet faker.js pour y introduire cette phrase : Que s'est-il réellement passé avec Aaron Swartz ? Il a ainsi fait référence a une théorie du complot qui veut que Aaron Swartz a été assassiné. La version officielle voulant que Aaron Swartz, en procès pour des accusations de fraude électronique, s'est suicidé peu avant l'ouverture des débats, à l'âge de 26 ans. Aaron Swartz a eu une grande influence sur Internet, aussi bien techniquement que pour la démocratisation de l'information. Wikipedia lui consacre un article.
Les commits malveillants de Marak Squires suscitent des débats houleux au sein des communautés open source. La décision de GitHub de fermer son compte également.