Sonatype 安全研究團隊近日 介紹 了一起濫用 npm 的案例 —— 他們發現托管在 npm 的 748 個軟體包實際上是視訊檔。
據介紹,這些軟體包每個大小約為 54.5MB,包名以 「wlwz」 作為字首,並附帶了應該是代表日期的數位。時間戳顯示,這些包至少自 2023 年 12 月 4 日起就一直存在於 npm,但 GitHub 上周已經開始刪除。
每個包中都有以 「.ts」 副檔名結尾的視訊剪輯,這表明這些視訊剪輯是從 DVD 和藍光光碟中翻錄的。
這裏的 ts 不是 TypeScript 檔,而是 transport stream 的縮寫,全稱為 「MPEG2-TS」:
MPEG2-TS 傳輸流(MPEG-2 Transport Stream;又稱 MPEG-TS、MTS、TS)是一種標準數位封裝格式,用來傳輸和儲存視訊、音訊與頻道、節目資訊,套用於數位電視廣播系統,如 DVB、ATSC、ISDB [3]:118、IPTV 等。
此外,某些包(例如 「wlwz-2312」)在 JSON 檔中包含普通話字幕。
雖然這些視訊不會像挖礦程式、垃圾信件包和依賴性惡意軟體那樣毒害社群,但這種把開源基礎設施當 CDN 的操作無疑是破壞了規則,也違反了供應商的服務條款,各位耗子尾汁吧。
相關連結: https://blog.sonatype.com/npm-flooded-with-748-packages-that-store-movies
