برنامهنویسی کتابخانههای جاوااسکریپتش را عمدا آلوده کرد و هزاران اپ را از کار انداخت
هفتهی گذشته، ماراک اسکوایرز، برنامهنویس دو کتابخانهی مهم جاوااسکریپت با بیش از ۲۱ هزار اپلیکیشن وابسته و ۲۲ میلیون دانلود هفتگی، این دو پروژه را بعد از یک سال بهروزرسانی کرد. باوجوداین، بهروزرسانیهای یادشده حاوی کد مخربی بودند که با تولید لوپ بینهایت، باعث میشد اپلیکیشنهای وابسته به این دو کتابخانه از کار بیفتند و زنجیرهای بیپایان از کلمات نامفهومی تولید کنند که با سه خط از این کلمه شروع میشد: «Liberty» بهمعنی «آزادی».
این خرابکاری عمدی موج بزرگی از هرجومرج و هراس را در انجمن توسعهدهندگانی ایجاد کرد که اپلیکیشنهایشان حالا از کار افتاده بود و همه در تلاش بودند تا به هر طریق ممکن پروژههای آسیبدیدهی خود را نجات دهند.
داستان دقیقاً از چه قرار بود؟
ماراک اسکوایرز خالق دو کتابخانهی متنباز و بسیار محبوب جاوااسکریپت به نامهای Faker و Colors است که ابزارهای مهم و کاربردی را بهرایگان دراختیار توسعهدهندگان سراسر دنیا قرار میدهد. کتابخانهی faker.js که برای مرورگرهای آزمایشی دادههای ساختگی تولید میکند، با بیش از ۲،۵۰۰ اپلیکیشن وابسته هر هفته شاهد ۲٫۵ میلیون دانلود در وبسایت npm، زیرمجموعهی گیتهاب بود. کتابخانهی colors.js نیز که به کنسولهای جاوااسکریپت رنگ اضافه میکند، چیزی حدود ۲۲٫۴ میلیون دانلود در هفته داشت و بیش از ۱۹ هزار پروژه به آن وابستهاند.
اسکوایرز بعد از یک سال که هیچگونه تغییری در این کتابخانهها ایجاد نکرده بود، هفتهی پیش کامیت مخربی در قالب «ماژول جدیدی برای پرچم آمریکا» به colors.js اضافه و کتابخانهی faker.js را نیز به نسخهی 6.6.6 بهروزرسانی کرد. با این بهروزرسانی مخرب، توسعهدهندگانی که از کدهای این دو کتابخانه برای پروژههایشان استفاده میکردند، دچار مشکل شدند و اپلیکیشنهایشان بهیکباره شروع به تولید رشتهای بیانتها از کلمات نامفهوم کرد که حاوی سه خط تکرار کلمهی «LIBERTY» بهمعنی «آزادی» بود.
انگیزه ماراک اسکوایرز از این خرابکاری عمدی چه بود؟
انگیزه اسکوایرز از آلودهکردن کتابخانههایش به کد مخرب و به دردسرانداختن هزاران توسعهدهنده دقیقاً مشخص نیست؛ اما میتوان حدسهایی زد. این برنامهنویس همراه با بهروزرسانی، در فایل readme پرسیده بود: «سر آرون سوارتس دقیقاً چه بلایی آمد؟»
آرون سوارتس که عدهای او را با نام «پسر اینترنت» میشناسند، برنامهنویس نابغهای بود که در ۱۴ سالگی در توسعهی استاندارد فید RSS مشارکت کرد. همچنین در طراحی معماری کتابخانهی باز و راهاندازی سازمان غیرانتفاعی Creative Commons و توسعهی پلتفرم Infogami نقش بزرگی ایفا کرد؛ پلتفرمی که بعدها با رددیت ادغام شد.
علاوهبراین، آرون هکتیویست هم بود و به آزادی اطلاعات در اینترنت اعتقاد داشت. سر همین اعتقاد نیز سال ۲۰۱۰ با وصلشدن به شبکهی دانشگاه MIT و استفاده از اسکریپت، میلیونها مقالهی پولی را از JSTOR، آرشیو دیجیتالی نشریات و مجلات علمی، بهطور غیرمجاز دانلود کرد تا آنها را برای استفادهی رایگان افراد در دیگر وبسایتها قرار دهد.
آرون یک ماه قبل از برگزاری دادگاه خودکشی کرد؛ دادگاهی که درصورت اثبات جرم، او را به حداکثر یکمیلیون دلار جریمه نقدی و بیش از ۳۵ سال زندان محکوم میکرد. بااینحال، از سؤال «سر آرون سوارتس دقیقاً چه بلایی آمد؟» اینطور بهنظر میرسد که مارک اسکوایرز جزو افرادی است که فکر میکنند مرگ آرون خودکشی نبوده است.
اسکوایرز در توییتی نیز این پرسش را تکرار کرد و به صفحهای در رددیت لینک داد که در آن یکی از کاربران مدعی شده بود سوارتس بهدلیل کشف محتوای آزار جنسی کودکان در سرورهای MIT کشته شده است. در یکی از پستهای این صفحه که حالا دیگر پاک شده، آمده بود:
تمام موارد دخیل در پروندهی سوارتس به این موضوع اشاره میکنند که او در اقدامی قهرمانانه برای آشکارسازی انحرافات جنسی که در قلب و مغز نخبههای جهان نفوذ کرده، جانش را از دست داد.
جدا از بحث آرون سوارتس و نظریههای توطئهی دربارهی آن، برخی در اینترنت دراینباره گمانهزنی میکنند که شاید ماراک اسکوایرز برنامهنویس همان ماراک اسکوایرزی است که در سال ۲۰۲۰ آپارتمانش دچار آتشسوزی شد و بازرسان موقع بررسی دلیل حریق، انباری از بمبهای دستساز را در منزلش کشف کردند.
یکی از کاربران در توییتی نوشت بعد از این حادثه، تمام کدهای اسکوایرز را از پروژههایش حذف کرده است؛ چون این فرد «ثبات عقلی» ندارد. اگرچه برای اثبات ارتباط بین این دو فرد همنام سند و مدرک محکمی وجود ندارد، خود ماراک یک ماه بعد از این آتشسوزی در توییتی نوشت «تمام وسایلم را در آتشسوزی خانهام از دست دادم» و از فالوورهایش تقاضای کمک مالی کرد.
بااینهمه، داستان به همینجا ختم نمیشود. اسکوایرز در مطلبی که نوامبر ۲۰۲۰ در گیتهاب منتشر کرده بود، اذعان کرد که دیگر نمیخواهد مجانی کار کند:
با کمال احترام، من دیگر نمیخواهم با کار رایگانم از شرکتهای فُرچون ۵۰۰ و سایر شرکتهای کوچکتر حمایت کنم. یا با من قرارداد سالانه ششرقمی ببندید یا بدهید فرد دیگری روی این پروژه کار کند.
اسکوایرز با این حرکت جسورانه قصد داشت توجهها را به معضل اخلاقی و مالی پروژههای متنباز جلب میکند. تعداد بسیار زیادی از وبسایتها و نرمافزارها و اپلیکیشنها برای توسعهی ابزار و دیگر مولفههای ضروری به پروژههای متنبازی متکی هستند که کاملاً رایگان است. افزونبراین، توسعهدهندگان زیادی بهطور شبانهروزی و داوطلبانه در حال توسعهی این پروژهها و حل مشکلات و آسیبپذیریهایی هستند که گاهی در حدواندازهی آسیبپذیری Log4j، تمام اینترنت را به آشوب میکشد.
معضل پروژههای متنباز
شرکتهای بزرگ و پردرآمد نظیر همین فُرچون ۵۰۰ که اسکوایرز از آنها نام برد، بدون صرف کمترین هزینه از اکوسیستم متنباز استفاده میکنند و از توسعهدهندگانی که بهطور خستگیناپذیری روی این پروژهها کار میکنند، حمایت مالی نمیکنند.
اینکه توسعهدهندهای بهتنهایی بتواند چنین مجموعهی گستردهای از اپها و شرکتها را با مشکل اساسی روبهرو کند، ضعف بنیادی ساختار پلتفرم متنباز و رایگان را بهوضوح بهتصویر میکشد. حالا به خرابکاریهای عمدی که بهندرت اتفاق میافتند، آسیبپذیریهای متداولی را اضافه کنید که از دید توسعهدهندگان پنهان میمانند.
در این شرایط، بهخوبی درک میکنید که این اکوسیستم با تمام مزیتهایش، چقدر درمعرض خطر قرار دارد. شاید حادثهی بعدی، ابعاد بسیار وسیعیتری داشته باشد؛ اما آیا تا پیشازآن، کسی برای حل معضلات پلتفرمهای متنباز چارهای اساسی اندیشیده است؟