盡管開源項(xiàng)目有著“眾人拾柴火焰高”的特性，但也難防有人使壞。Bleeping Computer 報(bào)道稱：近日一位開發(fā)者似乎故意破壞了 GitHub 和軟件注冊(cè) npm 上的一對(duì)開源庫(kù)（faker.js 和 colors.js）。由于成千上萬(wàn)的用戶依賴這些庫(kù)，本次惡意更新導(dǎo)致所有相關(guān)項(xiàng)目受到影響。

使用遭到破壞的版本，會(huì)導(dǎo)致應(yīng)用程序無(wú)限輸出奇怪的字母與符號(hào)。從第三行文本開始，上面會(huì)呈現(xiàn)“LIBERTY LIBERTY LIBERTY”。

盡管 color.js 看似已更新到新版本，但 faker.js 可能還需再等待一段時(shí)間，著急的朋友可嘗試降級(jí)到先前的 5.5.3 版本。

此外 Bleeping Computer 發(fā)現(xiàn)這兩個(gè)庫(kù)的開發(fā)者（Marak Squires）向 colors.js 引入了惡意提交，添加了所謂的 American flag 模塊，并推出了可觸發(fā)同樣破壞性事件的 6.6.6 版 faker.js 庫(kù)。

更奇怪的是，faker.js 的自述文件，也被改成了亞倫·斯沃茨（Aaaron Swartz）的名字。作為一位杰出的開發(fā)者，其幫助建立了 Creative Commons、RSS 和 Reddit 。

遺憾的是，2011 年的時(shí)候，其被指控竊取學(xué)術(shù)數(shù)據(jù)庫(kù) JSTOR 中的文件（本著知識(shí)理應(yīng)免費(fèi)分享的理念），后于 2013 年以自殺告終，但圍繞此事的陰謀論一直沒(méi)有停歇。

由于 faker.js 在 npm 上的每周下載量接近 250 萬(wàn)、colors.js 亦有約 2240 萬(wàn)，本次破壞事件還是給開源項(xiàng)目敲響了安全警鐘。

深挖之后，有人將問(wèn)題源頭指向了 2020 年 11 月起在 GitHub 上發(fā)表的一篇帖子。

Squires 聲稱不想自己的努力再被財(cái)富 500 強(qiáng)（其已其它小企業(yè)）白嫖，并希望拿到一份年薪六位數(shù)的合同?；蛘叻植骓?xiàng)目，并讓其他人參與其中。

（舉報(bào)）