オープンソース開発者が広く使用されている自分のライブラリを改ざん、大量のプロジェクトに影響

S 20220110 204445

開発者Marak Squires氏が、広く使用されている自分自身が作成したオープンソースライブラリ"faker.js"と"color.js"を意図的に破損させ、これらのライブラリに依存している多数のプロジェクトが影響を受けているとBleepingComputerが報じています。

不正なライブラリは「LIBERTY LIBERTY LIBERTY」という3行のテキストを出力するほか、奇妙な文字や記号を無限に出力するようになるとのこと。BleepingComputerはこの動作が、ライブラリの開発者Marak Squires氏が意図的に行った悪質なコミットが原因であることをつきとめます。

Bleeping Computerは、2020年11月にGitHubに投稿されたSquires氏のコメントから、同氏が、もう自由な仕事はしたくないと述べていた事実を発見しています。同氏は「失礼ながら、私はもうFortune 500(およびその他の小規模企業)を私の自由な仕事でサポートするつもりはありません」「これを機に、私に6桁の年間契約書を送るか、プロジェクトを中止して他の人にやってもらうか、どちらかにしてください」と今後のサポートを拒否する意向を示していたようです。

Squires氏の大胆な行動の目的は、人気ソフトウェアの開発者が十分な報酬を受け取ることができないという、オープンソース開発のジレンマに注目させることにあるのではないかと指摘されています。OpenSSLに影響を与えた2014年のHeartbleed騒動や、Log4jに見つかった最近のLog4Shell脆弱性のように、オープンソースソフトウェアで脆弱性が見つかった場合も、無給の開発者が精力的に働かざるを得ない状況になっているのです。

今回colors.jsとfaker.jsを使用しているNPMプロジェクトのユーザーは、安全でないバージョンを使用していないことを確認する必要があります。colors(1.4.0) やfaker (5.5.3) など、以前のバージョンにダウングレードすることが一つの解決策となりますが、今後不具合解消版がリリースされればそちらを使用するのが望ましいと思われます。

スポンサーリンク