オープンソースのライブラリ「colors.js」と「faker.js」の開発者であるマラック・スクワイアーズ氏が、それらの最新バージョンに無限ループ処理を仕込むなど、意図的な改ざんを加えたバージョンをリリースしていたことが分かった。
colors.jsは毎週2000万回以上、faker.jsは毎週280万回以上ダウンロードされている人気のライブラリ。それらを使用したプロジェクトに影響を与えることから、ITエンジニアを中心に物議を醸している。
影響を受けるバージョンはcolors.jsの「1.4.1」「1.4.2」「1.4.44-liberty-2」と、faker.jsの「6.6.6」。11日午後8時現在、JavaScriptの実行環境「Node.js」のパッケージ管理システム「npm」では、安全を確認できたcolors.jsの「1.4.0」を最新バージョンとして公開している。faker.jsは「5.5.3」にダウングレードすることで問題を回避できるという。
マラック氏は8日にcolors.jsのGitHub上のWebページに「colorsのv1.4.44-liberty-2にバグがあることに気付いた」と投稿。「現在、この状況を修正するために作業を行っており、間もなく解決する予定」と皮肉めいたコメントを残している。
一方、faker.jsのリポジトリは過去の内容が全て消されており「endgame」と題した内容のみが残されている。プロジェクトの概要文であるReadme.mdには「アーロン・スワーツに何が起こったのか?」と記載。2013年に自殺した米国のプログラマー、アーロン・スワーツ氏の死に言及するようなコメントを残している。
マラック氏は2020年10月26日に「アパートが火災に遭い、全財産を失った」とツイートをしている。11月には、全米の総収入上位500社のリスト「Fortune 500s」の企業とその他の中小企業に対して「もうただ働きで支援をするつもりはない。これを機に、私に6桁ドルの年間契約書を送るか、プロジェクトを分岐させて他の人にやってもらうかしてほしい」と表明していた。
この問題を巡りTwitter上では「いったんリリースした道義的責任をないがしろにするのもおかしいと思う」「『OSS開発者にお金を払おう』じゃなくて『OSSを使うのをやめよう』につながるのではないか」とマラック氏の対応を疑問視する声もみられるが、一方で「作者の正当な権利の範囲では」「いろいろ考えさせられる問題」などの意見もみられた。
Copyright © ITmedia, Inc. All Rights Reserved.
Special
PR