Las librerías Open Source para Node.JS Colors.js y Faker.js, ambas utilizadas por millones de usuarios, habrían sido corrompidas en las plataformas GitHub y npm. Lo cual dejaría a los proyectos que utilizan dichas librerías inoperantes.
Las librerías Open Source para NodeJS colors, conocido también como colors.js, con una cantidad aproximada de 22 millones de descargas semanales, y faker, conocido como faker.js, con una cantidad aproximada de 2 millones de descargas semanales.
El desarrollador de estas librerías, Marak Squires, supuestamente habría corrompido sus propios desarrollos con motivos activistas, siendo uno de estos motivos el famoso caso del desarrollador y activista Aaron Swartz. También se menciona que otro de los motivos sería el no apoyar a las grandes empresas que están utilizando su trabajo de manera gratuita, estas librerías, según el activista, son utilizadas en distintas empresas de gran capital y/o corporaciones, sacando beneficios con su trabajo sin recibir nada a cambio.
Las versiones afectadas por estas son:
- Colors.js versión v1.4.44-liberty-2
- faker.js versión 6.6.6
Recomendamos temporalmente no instalar las actualizaciones más recientes de estas librerías y mantenerse en las versiones estables como la versión 1.4.0 de Colors.js y la versión 5.5.3 de faker.js.
Referencias:
- https://www.bleepingcomputer.com/news/security/dev-corrupts-npm-libs-colors-and-faker-breaking-thousands-of-apps/
- https://www.xataka.com/aplicaciones/desarrollador-dos-librerias-open-source-populares-nodejs-ha-decidido-corromperlas-afectando-a-millones-usuarios
- https://www.theverge.com/2022/1/9/22874949/developer-corrupts-open-source-libraries-projects-affected