npmmirror 映像站(原 CNPM)核心開發者在社交平台 表 示 ,有人利用 npm 包的機制,將剛開播的【慶余年 2】整套高畫質盜版資源搬運到了 npmmirror。
好家夥,這是把托管開源軟體包的映像站當成了分發視訊的 CDN。
因此開發者無奈地說道, npmmirror 目前已暫停 unpkg 的【新增檔】服務 ,不再解析新的包版本,但存量的仍會保留,所以不會影響使用者的當前業務。
沒明白什麽意思的話請看 GPT-4o 解讀:
unpkg 介紹
unpkg 是一個快速的、全球性的、免費的公共 npm 包 CDN, 它允許你透過 URL 來存取 npm 上的包 。它由 Cloudflare 提供支持,可以提供快速的下載速度和緩存服務。
使用 unpkg,你可以很容易地在網頁中包含 JavaScript 庫、CSS 框架等,而不需要下載它們到你的伺服器。
例如,如果你想在你的網頁中使用 jQuery,你可以透過 unpkg 提供的連結來參照它:
<scriptsrc="https://unpkg.com/[email protected]/dist/jquery.min.js"></script>
這個連結會指向 jQuery 3.5.1 版本的 CDN 地址,你可以根據需要替換版本號。
unpkg 還支持透過路徑來存取包的內容,例如:
<link href="https://unpkg.com/[email protected]/dist/css/bootstrap.min.css" rel=" stylesheet">
這個連結會指向 Bootstrap 4.5.0 版本的 CSS 檔。
使用 unpkg 可以極大地簡化前端開發中的資源管理,因為它提供了一個簡單、快速的方式來引入第三方庫。
以上面【慶余年 2】為例,這群薅羊毛的灰產團伙慣用手法就是將盜版視訊切成若幹個體積較小的視訊檔(
當然他們
會用騷操作「掩飾」視訊檔
,這裏不展開
)
,並將其上傳到 npm
(
https://www.npmjs.com/package/lyq2/v/1.1.7-1
),然後以 「軟體包」 的方式參照它們。
除了視訊檔,這群團伙將 m3u8 檔上傳到了 unpkg
(
https://unpkg.com/[email protected]/playlist.m3u8
) 作為索引。
有了 「視訊原始檔」 和 「索引」 即可實作在視訊網站進行線上播放。
M3U8 是近年來逐漸被廣泛使用的一種串流媒體格式,它的全稱是 UTF-8 編碼的 M3U 檔。M3U,即 Media Playlist,是一種索引純文字檔案,主要用來記錄音訊、視訊分塊的列表。
當我們開啟一個 M3U 檔時,播放軟體並不是直接播放這個檔,而是根據檔中的索引找到對應的音視訊檔的網路地址進行線上播放。
而 npmmirror 作為 npmjs.com 映像站,會同步 npm 完整映像至中國伺服器(用的是阿裏雲),這裏面就包括上述的盜版資源。用了國內的伺服器,速度自然更快……
當然這也不是盜版團伙第一回幹這種事了,去年國外的安全研究團隊就介紹了 npm 被濫用的案例 —— 他們發現托管在 npm 的 748 個軟體包實際上是視訊檔(武林外傳)。
延伸閱讀 :
Reference
https://x.com/fengmk2/status/1791498406923215020
END
熱門文章
-
-
-
-
-
