Desenvolvedor quebra milhares de aplicativos JavaScript e Node com 11 linhas de código

Tudo o que foi necessário foram 11 linhas de JavaScript para que este desenvolvedor descontente quebrasse milhares de aplicativos como Babel, Node etc.

Há um ditado que diz que até o inferno não tem a fúria de uma mulher desprezada. Seria seguro dizer o mesmo sobre desenvolvedores desprezados, porque um desenvolvedor descontentado deixou os desenvolvedores JavaScript correndo para consertar um problema que estava travando builds e afetando milhares de projetos.

O problema surgiu depois que inúmeros projetos ficaram em limbo devido a uma disputa entre o programador, Azer Koçulu, a empresa por trás do npm e o aplicativo de mensagens Kik.

O que iniciou a briga, segundo Koçulu, foi que os advogados do Kik contestaram o nome de um de seus módulos no npm, que também se chamava Kik. Um advogado do Kik pediu que ele o deletasse do npm. “Minha resposta foi ‘não’”, explicou Koçulu.

A equipe jurídica do Kik então se aproximou do CEO do npm, Isaac Schlueter, e solicitou a mudança de nome. Segundo Koçulu, após a ameaça legal, Schlueter “aceitou mudar a propriedade deste módulo, sem minha permissão”.

Koçulu respondeu despublicando todos os seus pacotes do npm, que incluíam o módulo crítico left-pad. Esta pequena biblioteca JavaScript tem apenas 17 linhas de código, que são responsáveis por adicionar preenchimento à esquerda das strings com zeros ou espaços.

Uma vez que Koçulu despublicou seus pacotes, tornando-os disponíveis apenas via GitHub, isso bloqueou builds automáticas de milhares de projetos e enviou os desenvolvedores a fervorosas sessões de depuração. O módulo left-pad tinha cerca de 100.000 downloads por dia e 2,5 milhões apenas no mês passado.

A briga então se espalhou pelo Twitter e Reddit. “Essa situação me fez perceber que o NPM é a terra privada de alguém onde a corporação é mais poderosa que as pessoas, e eu faço código aberto porque, Poder Para o Povo”, escreveu Koçulu ontem.

Tudo está de volta ao normal agora

A boa notícia é que Koçulu aceitou transferir a propriedade de seus projetos para qualquer pessoa interessada em assumir e reupar para o npm.

Levará algum tempo para que todos os seus módulos sejam transferidos para novos proprietários, mas, enquanto isso, o left-pad encontrou um novo lar, e os desenvolvedores podem respirar aliviados que tudo está funcionando novamente.

A luta de Koçulu por autoestima não é sem implicações futuras de segurança cibernética, porque, ao remover todos os seus módulos do npm, ele também liberou os namespaces desses módulos. Isso significa que qualquer um poderia ter registrado muito facilmente outro módulo left-pad e entregue código malicioso nas builds de milhares de projetos JavaScript.

O Kik, o aplicativo de mensagens, tem uma história completamente diferente. Em um post no Medium, Mike Roberts, chefe de produtos do Kik, explicou a posição da empresa sobre todo esse problema. Ele diz no post que eles evitarão o nome Kik para seu próximo pacote a fim de evitar conflito com o Kik de Koçulu. Ele também divulgou detalhes da troca de e-mails entre Kik e Azer para mostrar que eles tentaram muito convencer Azer a recuperar o nome.

Cabe aos nossos leitores julgar se Koçulu foi apressado o suficiente para desligar seus módulos, causando dor a milhares de desenvolvedores.