著名開源項目作者刪庫跑路，神秘Bug影響超20000個項目

點擊關(guān)注公眾號，Java干貨及時送達(dá)??

“從GitHub上刪除自己的代碼是違反他們的服務(wù)條款的？WTF? 這是一種綁架行為。”

這兩天，一些開發(fā)者感覺有點懵……

?

?

一覺醒來發(fā)現(xiàn)，自己程序跑出來的全都是「亂碼」。

?

?

說起來，這些開發(fā)者的共同點就是都使用了開源庫「colors」和「faker」。

?

而且這兩個庫相當(dāng)受歡迎！

?

僅僅在npm上，colors庫每周的下載量就超過2000萬次，并且有將近19000個項目正在使用。

?

faker在npm上每周的下載量超過280萬次，有超過2500個項目使用。

?

甚至連亞馬遜的云計算開發(fā)工具包（aws-cdk）也用上了。

?

?

最初，用戶懷疑這些項目所使用的庫「colors」和「faker」被入侵，類似于去年coa、rc和ua-parser-js庫被惡意分子劫持的情況。

?

看到各種反饋之后，開發(fā)者也趕緊發(fā)文表示已經(jīng)在努力「修復(fù)」了。

?

?

但事實證明，故事并沒有這么簡單。

?

?

老子，不干了！

事件的開端要從這位名為「Marak Squires」的開發(fā)者說起。

?

近期，Marak在「colors」（GitHub上又名colors.js）加入了v1.4.44-liberty-2，并且發(fā)布了「faker」（GitHub上又名faker.js）的6.6.6版本。

?

稍微對西方有所了解的朋友們很容易就能注意到，這個「666」有些不太對勁啊。

?

找了一圈發(fā)現(xiàn)，網(wǎng)上的圖都不太能放……

?

總之，就是和「惡魔」有著千絲萬縷的聯(lián)系。

?

而Marak所做的，正是引入了一個無限循環(huán)的bug，讓數(shù)以千計的依賴「color」和「faker」的項目直接崩潰。

?

?

這些信息包括文本「LIBERTY LIBERTY LIBERTY」，以及在后面跟著的一大串非ASCII字符。

?

?

這些字符也被稱為「Zalgo文本」。

?

當(dāng)然，這又是另一個非常有意思的故事了，感興趣的朋友可以自己搜一下。

?

?

然而，時間一分一秒地過去了，自己的程序跑不了，項目的開發(fā)者也遲遲沒有提交解決方案。

?

開發(fā)者們不得不開始自己尋求解決方案。

?

?

很快就有人發(fā)現(xiàn)，只要回滾到之前的1.4.0版本，問題就解決了。

?

?

由此也就可以推斷，這個bug很有可能就來自于最新提交的「v1.4.44-liberty-2」。

?

通過查看項目的歷史發(fā)現(xiàn)，Marak在v1.4.44-liberty-2版本的colors.js庫中添加了一個「新的美國國旗模塊」，并將其推送到GitHub和npm。

?

?

就新的在代碼中，有一段無限循環(huán)，會讓所有使用「colors」的程序在控制臺無休止地打印各種非ASCII字符序列。

?

對于「faker」，Marak除了炸了自己程序之外，還修改了GitHub repo的README頁面。

?

這次，Marak直接攤牌了：endgame。

?

Marak還提到了一個人：亞倫·斯沃茨。寫到：「Aaron Swartz到底發(fā)生了什么？」

?

?

斯沃茨是一名美國程序員、企業(yè)家和著名的黑客活動家，在一場法律訴訟后「自殺」身亡。

?

為了使所有人都能自由獲取信息，這位黑客從麻省理工學(xué)院校園網(wǎng)上的JSTOR數(shù)據(jù)庫下載了數(shù)百萬篇期刊文章，據(jù)稱他通過反復(fù)旋轉(zhuǎn)自己的IP和MAC地址來繞過JSTOR和麻省理工學(xué)院設(shè)置的技術(shù)封鎖。

?

?

此前，在2020年11月，Marak就曾警告說，他將不再用他的「免費工作」來支持大公司了，而這些企業(yè)應(yīng)該考慮用每年「六位數(shù)」的工資來補償。

?

?

「恕我直言，我將不再用我的免費工作來支持財富500強（和其他較小規(guī)模的公司）。」

?

「你們可以把這當(dāng)作一個機會，給我發(fā)一份六位數(shù)的年薪合同，或者把這個項目fork之后，讓別人來做。」

?

?

于是，整件事的緣由逐漸明晰了起來，Marak似乎是在報復(fù)那些大型企業(yè)以及拿著開源項目賺錢的開發(fā)者。

?

他認(rèn)為，這些人不僅大量地使用開源社區(qū)的免費軟件，但是對社區(qū)又毫無貢獻(xiàn)。

?

敢亂改自己項目？看我封你賬號

對Marak的這波迷之操作，開源社區(qū)一部分開發(fā)者表示理解，另一部分則直接「口吐芬芳芳」。

?

「顯然，『colors.js』的作者為沒有得到報酬而生氣......。所以他決定在每次加載他的庫時打印美國國旗......。」

?

嚯，有點意思啊！（doge）

?

?

信息安全專家VessOnSecurity稱這種行為是「真**的不負(fù)責(zé)任」。

?

?

「如果你對企業(yè)免費使用你的免費代碼有意見，就不要發(fā)布免費代碼。通過破壞你自己被開發(fā)者廣泛使用的項目，你不僅傷害了大企業(yè)，也傷害了所有在使用它的人。」

?

但是有人則認(rèn)為：

「將代碼發(fā)布到他們自己的庫中，不需要對任何事情負(fù)責(zé)。如果你不同意我的觀點，那么請閱讀許可證中的實際法律條文，它沒有給出任何保證。如果是不負(fù)責(zé)任的，那又怎樣，他們不需要負(fù)責(zé)任。」

?

而GitHub一看，這個Marak怎么能瞎搞自己的項目，封了吧！

?

NPM已經(jīng)恢復(fù)到faker.js包的前一個版本，Github已經(jīng)暫停了我對所有公共和私人項目的訪問。我有100多個項目。

?

?

軟件工程師Sergio Gómez對此表示非常不理解：「從GitHub上刪除自己的代碼是違反他們的服務(wù)條款的？WTF? 這是一種綁架行為。」

?

Log4j：用愛發(fā)電，還得背鍋

Marak的「刪庫跑路」，不由得讓我們想起最近鬧得沸沸揚揚的「Log4j事件」。

?

據(jù)火線安全不完全統(tǒng)計，僅在Github上，就有60644個開源項目發(fā)布的321094軟件包存在風(fēng)險，這一漏洞可以說是影響了互聯(lián)網(wǎng)上70%以上企業(yè)系統(tǒng)的正常運轉(zhuǎn)。

由于Java應(yīng)用程序通常會記錄各種各樣的事件，例如用戶發(fā)送和接收的消息，或者系統(tǒng)錯誤的詳細(xì)信息，因此該漏洞可以通過多種方式觸發(fā)。

?

很快，Log4shell漏洞開始出現(xiàn)大規(guī)模的惡意利用。

?

隨著越來越多的問題被發(fā)現(xiàn)，Log4j的開發(fā)者們也不得不開啟了假期無償加班模式，為該項目打補丁。

?

雖然已經(jīng)在「不眠不休地進(jìn)行搶救：修復(fù)、文檔、CVE、回復(fù)咨詢了」，然而，依然有一些bug賞金獵人在對Log4j維護(hù)者進(jìn)行圍追堵截。

?

Log4j這件事也讓更多人開始關(guān)注大企業(yè)是如何「壓榨」開源的問題。

?

大量的網(wǎng)站、軟件和應(yīng)用程序依靠開源開發(fā)者來創(chuàng)造基本的工具和組件，他們不斷地消費，卻沒有給予足夠的回報。

?

而這些「孜孜不倦」地修復(fù)著安全問題的開發(fā)者們，不僅放棄了自己的閑暇時間，也沒有得到任何資金的支持。

?

網(wǎng)友對此評論道：

「對color.js/faker.js作者破壞他們自己的軟件包的反應(yīng)，恰好也說明了有多少企業(yè)開發(fā)者認(rèn)為他們在道德上有權(quán)使用開源開發(fā)者的無償勞動，而不用做出任何回報。」

?

對于開源代碼的未來，大概只能等時間來告訴我們吧。

參考資料：

https://www.bleepingcomputer.com/news/security/dev-corrupts-npm-libs-colors-and-faker-breaking-thousands-of-apps/

---

【文章來源】公眾號：新智元

1.?SpringBoot快速開發(fā)利器：Spring Boot CLI
2.?安排幾款實用的內(nèi)網(wǎng)穿透工具（加教程）
3.?SpringBoot+flowable快速實現(xiàn)工作流，so easy！
4.?MySQL模糊查詢再也用不著 like+% 了！
最近面試BAT，整理一份面試資料《Java面試BATJ通關(guān)手冊》，覆蓋了Java核心技術(shù)、JVM、Java并發(fā)、SSM、微服務(wù)、數(shù)據(jù)庫、數(shù)據(jù)結(jié)構(gòu)等等。
獲取方式：點“在看”，關(guān)注公眾號并回復(fù)?Java?領(lǐng)取，更多內(nèi)容陸續(xù)奉上。
PS：因公眾號平臺更改了推送規(guī)則，如果不想錯過內(nèi)容，記得讀完點一下“在看”，加個“星標(biāo)”，這樣每次新文章推送才會第一時間出現(xiàn)在你的訂閱列表里。
點“在看”支持小哈呀，謝謝啦??！