Desarrollador rompe miles de aplicaciones JavaScript y Node con 11 líneas de código

Todo lo que se necesitó fueron 11 líneas de JavaScript para que este desarrollador descontento rompiera miles de aplicaciones como Babel, Node, etc.

Hay un dicho que dice que ni siquiera el infierno tiene la furia de una mujer despreciada. Sería seguro decir lo mismo sobre los desarrolladores despreciados porque un desarrollador descontento ha dejado a los desarrolladores de JavaScript corriendo de un lado a otro para solucionar un problema que estaba causando fallos en las compilaciones y afectando a miles de proyectos.

El problema surgió después de que innumerables proyectos quedaran en el limbo debido a una disputa entre el programador, Azer Koçulu, la empresa detrás de npm y la aplicación de mensajería Kik.

Lo que inició la pelea, según Koçulu, fue que los abogados de Kik desafiaron el nombre de uno de sus módulos en npm, que también se llamaba Kik. Un abogado de Kik le pidió que lo eliminara de npm. “Mi respuesta fue ‘no’”, explicó Koçulu.

El equipo legal de Kik luego se acercó al CEO de npm, Isaac Schlueter, y solicitó el cambio de nombre. Según Koçulu, tras la amenaza legal, Schlueter “aceptó cambiar la propiedad de este módulo, sin mi permiso”.

Koçulu respondió despublicando todos sus paquetes de npm, lo que incluía el crítico módulo left-pad. Esta pequeña biblioteca de JavaScript tiene solo 17 líneas de código, que son responsables de rellenar cadenas a la izquierda con ceros o espacios.

Una vez que Koçulu despublicó sus paquetes, haciéndolos disponibles solo a través de GitHub, bloqueó las compilaciones automáticas de miles de proyectos y envió a los desarrolladores a fervorosas sesiones de depuración. El módulo left-pad tenía alrededor de 100,000 descargas por día y 2.5 millones solo en el último mes.

La pelea luego se desbordó en Twitter y Reddit. “Esta situación me hizo darme cuenta de que NPM es la tierra privada de alguien donde la corporación es más poderosa que la gente, y hago código abierto porque, Poder para la Gente”, escribió Koçulu ayer.

Todo ha vuelto a la normalidad ahora

La buena noticia es que Koçulu ha aceptado transferir la propiedad de sus proyectos a cualquier interesado en hacerse cargo de ellos y volver a subirlos a npm.

Tomará algún tiempo tener todos sus módulos transferidos a nuevos propietarios, pero mientras tanto, left-pad ha encontrado un nuevo hogar, y los desarrolladores pueden respirar aliviados de que todo está funcionando nuevamente.

La lucha de Koçulu por la autoestima no está exenta de futuras implicaciones de ciberseguridad porque, al eliminar todos sus módulos de npm, también liberó los espacios de nombres de esos módulos. Esto significa que cualquiera podría haber registrado muy fácilmente otro módulo left-pad y entregar código malicioso en las compilaciones de miles de proyectos de JavaScript.

Kik, la aplicación de mensajería, tiene una historia completamente diferente. En una publicación de Medium, Mike Roberts, jefe de productos en Kik, explicó la posición de la empresa sobre todo este asunto. Él dice en la publicación que evitarán el nombre Kik para su próximo paquete con el fin de evitar un choque con el Kik de Koçulu. También publicó detalles del intercambio de correos electrónicos entre Kik y Azer para mostrar que habían intentado convencer a Azer de que recuperara el nombre.

Es para nuestros lectores juzgar si Koçulu fue lo suficientemente apresurado como para desconectar sus módulos causando dolor a miles de desarrolladores.