npm 軟件包網(wǎng)站被濫用，開發(fā)者上傳超 700 個(gè)《武林外傳》切片視頻

IT之家 1 月 31 日消息，npm 是一個(gè) Node.js 包管理和分發(fā)工具，于 2020 年被 Github 收購，開發(fā)者可在該倉庫上傳托管或下載軟件包。

然而由于 npm 的免費(fèi)特性，一些開發(fā)者把它當(dāng)成了電子書或視頻的存儲工具。

近日，Sonatype 安全研究團(tuán)隊(duì)發(fā)現(xiàn) npm 注冊表中充斥著 748 個(gè)奇特的“軟件包”，每個(gè)包的大小約為 54.5 MB，并以“wlwz”前綴命名，后面跟著一串?dāng)?shù)字，預(yù)計(jì)是用來重建文件的排列序號。

時(shí)間戳顯示，這些包至少自 2023 年 12 月 4 日起就一直存在于 npm 注冊表中，但 GitHub 在本月開始從 npmjs.com 注冊表中刪除它們。

報(bào)告稱，這個(gè)名為 wlwz 的用戶上傳了超 700 個(gè) .ts 視頻切片文件（ts 不是 TypeScript 文件，而是 transport stream 的縮寫，一般用于流式視頻傳輸），安全研究團(tuán)隊(duì)打開一看，是來自東方大陸的電視劇視頻，不過該團(tuán)隊(duì)沒有查到《武林外傳》的名字。

有趣的是，某些包（例如“wlwz-2312”）在 JSON 文件中包含B站視頻彈幕信息，被安全研究團(tuán)隊(duì)當(dāng)成了普通話字幕。

IT之家訪問 npm 網(wǎng)站發(fā)現(xiàn)，這個(gè)名為 wlwz 的用戶賬號已經(jīng)刪除。

廣告聲明：文內(nèi)含有的對外跳轉(zhuǎn)鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節(jié)省甄選時(shí)間，結(jié)果僅供參考，IT之家所有文章均包含本聲明。