Open|faker.js与colors.js开源库遭开发者恶意破坏 波及大量项目
尽管开源项目有着“众人拾柴火焰高”的特性 , 但也难防有人使坏 。Bleeping Computer 报道称:近日一位开发者似乎故意破坏了 GitHub 和软件注册 npm 上的一对开源库(faker.js 和 colors.js) 。由于成千上万的用户依赖这些库 , 本次恶意更新导致所有相关项目受到影响 。
文章图片
使用遭到破坏的版本 , 会导致应用程序无限输出奇怪的字母与符号 。从第三行文本开始 , 上面会呈现“LIBERTY LIBERTY LIBERTY” 。
尽管 color.js 看似已更新到新版本 , 但 faker.js 可能还需再等待一段时间 , 着急的朋友可尝试降级到先前的 5.5.3 版本 。
【Open|faker.js与colors.js开源库遭开发者恶意破坏 波及大量项目】
文章图片
此外 Bleeping Computer 发现这两个库的开发者(Marak Squires)向 colors.js 引入了恶意提交 , 添加了所谓的 American flag 模块 , 并推出了可触发同样破坏性事件的 6.6.6 版 faker.js 库 。
更奇怪的是 , faker.js 的自述文件 , 也被改成了亚伦·斯沃茨(Aaaron Swartz)的名字 。作为一位杰出的开发者 , 其帮助建立了 Creative Commons、RSS 和 Reddit。
文章图片
遗憾的是 , 2011 年的时候 , 其被指控窃取学术数据库 JSTOR 中的文件(本着知识理应免费分享的理念) , 后于 2013 年以自杀告终 , 但围绕此事的阴谋论一直没有停歇 。
由于 faker.js 在 npm 上的每周下载量接近 250 万、colors.js 亦有约 2240 万 , 本次破坏事件还是给开源项目敲响了安全警钟 。
文章图片
深挖之后 , 有人将问题源头指向了 2020 年 11 月起在 GitHub 上发表的一篇帖子 。
文章图片
Squires 声称不想自己的努力再被财富 500 强(其已其它小企业)白嫖 , 并希望拿到一份年薪六位数的合同 。或者分叉项目 , 并让其他人参与其中 。
推荐阅读
- 欺诈|贝宝、LG电子宣布与IBM量子合作,量子应用多领域
- 创事记|圈层社交的高光与隐忧:小天才电话手表会跑偏吗?
- 能源|业内共话可再生能源助力建筑与城市低碳发展
- 市场|圈层社交的高光与隐忧:小天才电话手表真能挑战腾讯?
- 市场|圈层社交的高光与隐忧:小天才电话手表会跑偏吗?
- 新浪科技综合|中国学者找到新生儿黄疸与空气污染的关系 建预测模型
- 时间|Alphabet量子公司横空出世!Sandbox将与谷歌、DeepMind成姊妹
- 通信运营商|Verizon、AT&T与T-Mobile纷纷表示未阻止iCloud隐私中继功能
- 爆发|从1G到5G 技术成熟与应用爆发相辅相成
- Apple|加速造车?媒体:苹果预计将与多家韩国厂商展开合作