【48812】npm被乱用——上传700多个武林别传切片视频
时间: 2024-06-09 05:31:05 | 作者: 案例展示
Sonatype 安全研讨团队近来介绍了一同乱用 npm 的事例 —— 他们发现保管在 npm 的 748 个软件包其实便是视频文件。
据介绍,这些软件包每个巨细约为 54.5MB,包名以 “wlwz” 作为前缀,并附带了应该是代表日期的数字。时刻戳显现,这些包至少自 2023 年 12 月 4 日起就一向存在于 npm,但 GitHub 上星期渐渐的开端删去。
每个包中都有以 “.ts” 扩展名结束的视频剪辑,这表明这些视频剪辑是从 DVD 和蓝光光盘中翻录的。
此外,某些包(例如 “wlwz-2312”)在 JSON 文件中包括普通话字幕。
尽管这些视频不会像挖矿程序、垃圾邮件包和依赖性歹意软件那样毒害社区,但这种把开源基础设施当 CDN 的操作无疑是破坏了规矩,也违反了供货商的服务条款,各位耗子尾汁吧。
