npm 被滥用 —— 有人上传了 700 多个武林外传切片视频

来源: OSCHINA
编辑:
2024-01-30 11:51:00

Sonatype 安全研究团队近日介绍了一起滥用 npm 的案例——他们发现托管在 npm 的 748 个软件包实际上是视频文件。

据介绍,这些软件包每个大小约为 54.5MB,包名以 “wlwz” 作为前缀,并附带了应该是代表日期的数字。时间戳显示,这些包至少自 2023 年 12 月 4 日起就一直存在于 npm,但 GitHub 上周已经开始删除。

每个包中都有以“.ts”扩展名结尾的视频剪辑,这表明这些视频剪辑是从 DVD 和蓝光光盘中翻录的。

这里的 ts 不是 TypeScript 文件,而是 transport stream 的缩写,全称为 “MPEG2-TS”:

MPEG2-TS 传输流(MPEG-2 Transport Stream;又称 MPEG-TS、MTS、TS)是一种标准数字封装格式,用来传输和存储视频、音频与频道、节目信息,应用于数字电视广播系统,如DVB、ATSC、ISDB[3]:118、IPTV等。

此外,某些包(例如“wlwz-2312”)在 JSON 文件中包含普通话字幕。

虽然这些视频不会像挖矿程序、垃圾邮件包和依赖性恶意软件那样毒害社区,但这种把开源基础设施当 CDN 的操作无疑是破坏了规则,也违反了供应商的服务条款,各位耗子尾汁吧。

展开阅读全文
点击加入讨论🔥(41) 发布并加入讨论🔥
本篇精彩评论
作为技术人员,还是需要有一定的职业素养的。虽然这些东西在技术上能实现,但滥用等同是对中国区技术人员的自污,并加深反感印象
2024-01-31 08:32
34
举报
自以为是的聪明,没有用在正途上,这是客气的说法。严重一点就是,毫无人品,这辈子走不远。
2024-01-31 13:16
14
举报
这种人要轰出去,不然以后又把一大批中国开发者封了
2024-01-31 09:07
12
举报
技术员的耻辱
2024-01-31 13:33
8
举报
别把喜欢白嫖贴在了每个中国人头上
2024-01-31 10:40
7
举报
41 评论
0 收藏
分享
返回顶部
顶部