Dev Merusak NPM Library 'color' dan 'faker' melanggar ribuan aplikasi

Pengguna perpustakaan open-source populer ‘warna’ dan ‘faker’ dibiarkan tertegun setelah mereka melihat aplikasi mereka, menggunakan perpustakaan ini, mencetak data omong kosong dan melanggar.

Beberapa menduga jika perpustakaan NPM telah dikompromikan, tetapi ternyata ada lebih banyak cerita.

Pengembang perpustakaan ini sengaja memperkenalkan loop tak terbatas yang membangun ribuan proyek yang bergantung pada ‘warna’ dan ‘faker.’

Perpustakaan warna menerima lebih dari 20 juta unduhan mingguan di NPM saja dan memiliki hampir 19.000 proyek yang mengandalkannya. Sedangkan, faker menerima lebih dari 2,8 juta unduhan mingguan di NPM, dan memiliki lebih dari 2.500 tanggungan.

Revolusi Open Source?

Pengembang di balik perpustakaan NPM open-source populer ‘warna’ (alias color.js di GitHub) dan ‘faker’ (alias ‘faker.js’ di GitHub) sengaja memperkenalkan komit nakal di dalamnya yang berdampak pada ribuan aplikasi yang mengandalkan perpustakaan ini.

Kemarin, pengguna proyek open-source populer, seperti Amazon Cloud Development Kit (aws-cdk) tercengang melihat aplikasi mereka mencetak pesan omong kosong di konsol mereka.

Pesan-pesan ini termasuk teks ‘LIBERTY LIBERTY LIBERTY’ diikuti oleh urutan karakter non-ASCII:

Awalnya, pengguna menduga bahwa perpustakaan ‘warna’ dan ‘faker’ yang digunakan oleh proyek-proyek ini dikompromikan [1, 2, 3], mirip dengan bagaimana perpustakaan coa, rc, dan ua-parser-js dibajak tahun lalu oleh aktor jahat.

Tapi, pada kenyataannya, itu adalah dev di balik warna dan faker yang tampaknya telah sengaja melakukan kode yang bertanggung jawab atas kesalahan besar, seperti yang dilihat oleh BleepingComputer.

Pengembang, bernama Marak Squires menambahkan “modul bendera Amerika baru” ke perpustakaan warna.js kemarin dalam versi v1.4.44-liberty-2 yang kemudian ia dorong ke GitHub dan NPM.

Loop tak terbatas yang diperkenalkan dalam kode akan terus berjalan tanpa batas waktu; mencetak urutan karakter non-ASCII omong kosong tanpa henti pada konsol untuk aplikasi apa pun yang menggunakan ‘colors.’

Alasan di balik kenakalan ini di pihak pengembang tampaknya adalah pembalasan – terhadap mega-perusahaan dan konsumen komersial proyek open-source yang secara luas bergantung pada perangkat lunak bebas biaya dan bertenaga masyarakat tetapi tidak memberikan kembali kepada masyarakat.

Selengkapnya: Bleepingcomputer

Cookie	Duration	Description
_ga	2 years	The _ga cookie, installed by Google Analytics, calculates visitor, session and campaign data and also keeps track of site usage for the site's analytics report. The cookie stores information anonymously and assigns a randomly generated number to recognize unique visitors.
_gat_gtag_UA_172707709_1	1 minute	Set by Google to distinguish users.
_gid	1 day	Installed by Google Analytics, _gid cookie stores information on how visitors use a website, while also creating an analytics report of the website's performance. Some of the data that are collected include the number of visitors, their source, and the pages they visit anonymously.

Revolusi Open Source?

Cookies Settings