faker.js 与 colors.js 开源库遭开发者恶意破坏 波及大量项目

尽管开源项目有着“众人拾柴火焰高”的特性，但也难防有人使坏。Bleeping Computer 报道称：近日一位开发者似乎故意破坏了 GitHub 和软件注册 npm 上的一对开源库（faker.js 和 colors.js）。由于成千上万的用户依赖这些库，本次恶意更新导致所有相关项目受到影响。

http://hackernews.cc/wp-content/uploads/2022/01/2f7d84af74d2da9-405x600.png

使用遭到破坏的版本，会导致应用程序无限输出奇怪的字母与符号。从第三行文本开始，上面会呈现“LIBERTY LIBERTY LIBERTY”。

尽管 color.js 看似已更新到新版本，但 faker.js 可能还需再等待一段时间，着急的朋友可尝试降级到先前的 5.5.3 版本。

http://hackernews.cc/wp-content/uploads/2022/01/4755a830bc07469-600x303.jpeg

此外 Bleeping Computer 发现这两个库的开发者（Marak Squires）向 colors.js 引入了恶意提交，添加了所谓的 American flag 模块，并推出了可触发同样破坏性事件的 6.6.6 版 faker.js 库。

更奇怪的是，faker.js 的自述文件，也被改成了亚伦·斯沃茨（Aaaron Swartz）的名字。作为一位杰出的开发者，其帮助建立了 Creative Commons、RSS 和 Reddit 。

http://hackernews.cc/wp-content/uploads/2022/01/911765b2e3b2c72-600x318.jpeg

遗憾的是，2011 年的时候，其被指控窃取学术数据库 JSTOR 中的文件（本着知识理应免费分享的理念），后于 2013 年以自杀告终，但围绕此事的阴谋论一直没有停歇。

由于 faker.js 在 npm 上的每周下载量接近 250 万、colors.js 亦有约 2240 万，本次破坏事件还是给开源项目敲响了安全警钟。

http://hackernews.cc/wp-content/uploads/2022/01/2a55eedd7f9c23f.png

深挖之后，有人将问题源头指向了 2020 年 11 月起在 GitHub 上发表的一篇帖子。

http://hackernews.cc/wp-content/uploads/2022/01/ba270fddc30ee58-556x600.png

Squires 声称不想自己的努力再被财富 500 强（其已其它小企业）白嫖，并希望拿到一份年薪六位数的合同。或者分叉项目，并让其他人参与其中。

（消息及封面来源：cnBeta）