Die Open-Source-Bibliotheken 'colors' und 'faker' auf NPM wurden korrumpiert. Das Techmagazin 'Bleepingcomputer' hat berichtet, dass Anwendungen, die auf die Biblio­theken zugegriffen haben, nur noch unlesbare Codes ausgaben oder gar ganz zusammenbrachen. Verantwortlich dafür soll der Entwickler der Open-Source-Bibliotheken selbst sein. Gemäss dem Magazin hat er eine Endlosschleife in die Datenbank eingebaut und damit mehrere Tausend Projekte zum Absturz gebracht.

Die 'colors'-Bibliothek allein wird auf NPM, dem Paketmanager für die JavaScript-Laufzeitumgebung Node.js über 20 Millionen Mal pro Woche heruntergeladen. Fast 19'000 Projekte verlassen sich auf die Open-Source-Software. Die 'faker'-Bibliothek wird wöchentlich rund 2,8 Millionen Mal von NPM gedownloadet und trägt zur Funktion von 2'500 Applikationen bei.

Nach ersten Spekulationen fand 'Bleepingcopmuter' in einer Recherche heraus, dass ein Entwickler namens Marak Squires der colors.js-Bibliothek ein "neues Modul für die amerikanische Flagge" hinzufügte, das er anschliessend auf GitHub und NPM veröffentlichte. Dazu wurde auch eine sabotierte Version von 'faker' online gestellt. Die neuen Codes mit den eingefügten Endlosschleifen haben dann dazu geführt, dass die kauderwelschartige Nicht-ASCII-Zeichenfolge für alle Anwendungen in einer Endlosschleife auf der Konsole ausgegeben wurden.

Als Grund für die Sabotage wird eine Vergeltungsmassnahme seitens des Entwicklers vermutet. Er solle sich insbesondere gegen Grosskonzerne und kommerzielle Nutzer von Open-Source-Projekten gestellt haben, die in grossem Umfang auf kostenlose Open-Source-Software zurückgreifen, dabei aber nichts an die Gemeinschaft zurückgeben.

Bereits im November 2020 hatte Marak gewarnt, dass er die grossen Firmen nicht länger mit seiner kostenlosen Arbeit unterstützen werde. Dabei bot er den kommerziellen Unternehmen die Möglichkeit ihre Projekte entweder zu forken oder ihm ein sechsstelliges Jahresgehalt zu bezahlen. "Bei allem Respekt, ich werde die Fortune 500s (und andere kleinere Unternehmen) nicht mehr mit meiner kostenlosen Arbeit unterstützen. Es gibt nicht viel mehr zu sagen", liess der Entwickler sich damals zitieren.

'Bleepingcomputer' hat weiter herausgefunden, dass die Readme-Seite für die schadhafte GitHub-Bibliothek ebenfalls verändert wurde. Unter anderem findet sich darin die Frage: "Was ist wirklich mit Aaron Swartz passiert?" Swartz war ein amerikanischer Programmierer und Unternehmer, der bestrebt war Informationen für alle frei zugänglich zu machen. Dabei lud der Hacktivist Millionen von Zeitschriftenartikeln aus einer Datenbank des MIT herunter und veröffentlichte diese. Dabei hat Swartz gegen das Gesetz über Computerbetrug und -missbrauch verstossen. Im Verlaufe des Rechtsstreits beging er Selbstmord.

Maraks Aktion hat ein ganzes Spektrum an verschiedenen Reaktionen hervorgerufen. Die Meinungen zu der Tat könnten unterschiedlicher nicht sein. Während einige Mitglieder der Open-Source-Gemeinschaft das Vorgehen des Entwicklers – insbesondere auch im Zusammenhang mit der Geschichte rund um Aaron Swartz – gelobt haben, waren andere über sein Vorgehen entsetzt. In einem Tweet gab Marak zudem bekannt, dass sein GitHub-Konto gesperrt wurde, was wiederum zu weiteren Diskussionen in der Community geführt hat.