npm 软件网站被滥用,开发者上传超 700 个《武林外传》切片视频
IT之家 1 月 31 日消息,npm 是一个 Node.js 包管理和分发工具,于 2020 年被?Github 收购,开发者可在该仓库上传托管或下载软件包。
然而由于 npm 的免费特性,一些开发者把它当成了电子书或视频的存储工具。
近日,Sonatype 安全研究团队发现 npm 注册表中充斥着 748 个奇特的“软件包”,每个包的大小约为 54.5 MB,并以“wlwz”前缀命名,后面跟着一串数字,预计是用来重建文件的排列序号。
时间戳显示,这些包至少自 2023 年 12 月 4 日起就一直存在于 npm 注册表中,但 GitHub 在本月开始从 npmjs.com 注册表中删除它们。
报告称,这个名为?wlwz 的用户上传了超 700 个?.ts 视频切片文件(ts 不是 TypeScript 文件,而是 transport stream 的缩写,一般用于流式视频传输),安全研究团队打开一看,是来自东方大陆的电视剧视频,不过该团队没有查到《武林外传》的名字。
有趣的是,某些包(例如“wlwz-2312”)在 JSON 文件中包含B站视频弹幕信息,被安全研究团队当成了普通话字幕。
IT之家访问 npm 网站发现,这个名为 wlwz 的用户账号已经删除。
- 发表于:
- 原文链接:https://page.om.qq.com/page/OVBeIOJoGpqcwWVzPa1bkFfA0
- 腾讯「腾讯云开发者社区」是腾讯内容开放平台帐号(企鹅号)传播渠道之一,根据《腾讯内容开放平台服务协议》转载发布内容。
- 如有侵权,请联系 cloudcommunity@tencent.com 删除。
相关快讯
扫码
添加站长 进交流群
领取专属 10元无门槛券
私享最新 技术干货
腾讯云开发者
