Open-Source-Debatte entbrannt: Entwickler manipuliert colors und faker

Mit einer kuriosen Aktion wurden die beiden beliebten und viel genutzten Open-Source-Bibliotheken "colors" und "faker" un­brauch­bar gemacht. Was genau dahintersteckt ist unklar, denn ein Entwickler beschwert sich, dass er mit seinen Open-Source-Ar­bei­ten kein Geld verdient. Nun stellt sich die Frage, ob das wahr und legitim ist. Nutzer sind fassungslos über den Datenmüll, der von den abhängigen Projekten nun ausgegeben wird. Zunächst wurde vermutet, dass die Bibliotheken kompromittiert wurden. Tatsächlich war es aber der Entwickler hinter colors and faker selbst, der den fehlerhaften Code offenbar absichtlich eingegeben hat, wie BleepingComputer herausfand.

Der Entwickler Marak Squires fügte der colors.js-Bibliothek ein "neues Modul für die amerikanische Flagge" hinzu, das er anschließend auf GitHub und npm veröffentlichte. Die Endlosschleife, die in den Code eingefügt wurde, gibt nun für alle Anwendungen, die "colors" verwenden, nur noch Kauderwelsch aus. Auf ähnliche Weise wurde faker auch sabotiert.

Der Entwickler führte absichtlich eine Endlosschleife ein, die Tausende von Projekten, die von "colors" und "faker" abhängen, zum Absturz brachte. Die colors-Bibliothek wird allein auf npm wöchentlich über 20 Millionen Mal heruntergeladen und fast 19.000 Projekte arbeiten mit ihr. Faker wird wöchentlich rund 2,8 Millionen Mal von npm heruntergeladen, es gibt mehr als 2.500 Projekte, die darauf aufbauen.

Der Grund für diese Sabotage seitens des Entwicklers scheint eine Art Vergeltungsmaßnahme zu sein - "gegen Megakonzerne und kommerzielle Nutzer von Open-Source-Projekten, die in großem Umfang auf kostenlose und von der Gemeinschaft betriebene Software zurückgreifen, aber laut dem Entwickler nichts an die Gemeinschaft zurückgeben", so Bleeping Computer.

Angekündigtes Chaos?

Im November 2020 hatte Marak gewarnt, dass er Unternehmen nicht länger mit seiner "kostenlosen Arbeit" unterstützen werde. "Bei allem Respekt, ich werde die Fortune 500s (und andere kleinere Unternehmen) nicht mehr mit meiner kostenlosen Arbeit unterstützen. Es gibt nicht viel mehr zu sagen", schrieb der Entwickler. "Nehmt dies als Gelegenheit, mir einen sechsstelligen Jahresvertrag zu schicken oder das Projekt abzubrechen und jemand anderen daran arbeiten zu lassen."

InfoSec-Experte VessOnSecurity bezeichnete die Aktion als "unverantwortlich" und twitterte: "Wenn Sie Probleme damit haben, dass Unternehmen Ihren freien Code kostenlos verwenden, sollten Sie keinen freien Code veröffentlichen. Indem Sie Ihren eigenen, weit verbreiteten Code sabotieren, schaden Sie nicht nur großen Unternehmen, sondern auch allen, die ihn verwenden. Das bringt die Leute dazu, nicht zu aktualisieren, weil etwas kaputtgehen könnte." GitHub hat Berichten zufolge das Konto des Entwicklers gesperrt, um den Vorfall zu untersuchen und eine Manipulation vonseiten eines Dritten auszuschließen.

Siehe auch:
Hacker, Security, Hack, Entwickler, Entwicklung, Exploit, Cybersecurity, Hacking, Code, Programmierung, Quellcode, Programmierer, Developer, Sdk, Programmieren, Sourcecode, Cyber, Dev, Coder, Development, Coding, Binärcode, Binär