上下文,faker.js自述文件也被更改为“Aaron问题”

他推送了一个触发无限循环的中断更新

一名开发人员似乎故意破坏了 GitHub 和软件注册表 npm 上的一对开源库——“faker.js”和“colors.js”——成千上万的用户都依赖它们,使得 Any 项目毫无用处据 Bleeping Computer 报道。虽然 color.js 似乎已经更新到工作版本,但 faker.js 似乎仍然受到影响,可以通过降级到以前的版本来修复 (5.5.3).

破解版导致app无限输出奇怪的字母和符号

Bleeping Computer 发现,这两个库的开发者 Marak Squires 向 colors.js 引入了恶意提交(GitHub 上的文件修订),添加了“新的美国国旗模块”,并推送了 faker 6.6.6版本 .js,触发相同的破坏性事件。损坏的版本导致应用程序无限输出奇怪的字母和符号,开头是三行写着“LIBERTY LIBERTY LIBERTY”的文字。

更奇怪的是,faker.js 自述文件也被更改为“Aaron Swartz 到底怎么了?” Swartz 是一位出色的开发人员,他帮助构建了 Creative Commons、RSS 和 Reddit。2011 年,Swartz 被指控从学术数据库 JSTOR 中窃取文件以使其免费访问,后来于 2013 年自杀。Squires 提到 Swartz 可能指的是围绕他死亡的阴谋论。

正如 Long Time Again 所指出的,许多用户——包括一些使用亚马逊云 SDK 的用户——转向 GitHub 的错误跟踪系统来表达他们对这个问题的担忧。由于 faker.js 在 npm 上的每周下载量接近 250 万,而 color.js 的每周下载量约为 2240 万,因此腐败的影响可能是深远的。对于上下文,faker.js 为演示生成假数据,而 color.js 将颜色添加到 javascript 控制台。

为了解决这个问题,Squires 在 GitHub 上发布了更新以解决“zalgo 问题”,该问题是指由损坏的文件产生的故障文本。“我们注意到 v1.4.44-liberty-2 版本的颜色中有一个 zalgo 错误,”Squires 以一种可能是讽刺的方式写道。“请知道我们现在正在解决这个问题js控制多行tr显示隐藏,很快就会有解决方案。”

在将损坏的更新推送到 faker.js 两天后,Squires 后来在推特上表示js控制多行tr显示隐藏,尽管在该网站上存储了数百个项目,但他已被 GitHub 暂停。然而,从 faker.js 和 colors.js 的更新日志来看,他的停职似乎已经解除。Squires 于 1 月 4 日推出了 faker.js 提交,1 月 6 日被禁止,直到 1 月 7 日才推出“免费”版本的 colors.js。目前尚不清楚 Squires 的帐户是否再次被禁止。The Verge 联系 GitHub 征求意见,但没有立即收到回复。

© 版权声明
THE END
喜欢就支持一下吧
点赞0
分享
评论 抢沙发

请登录后发表评论