TYPECHO WIKI
每一个作品都值得被记录

敬告读者,感谢您对本站的支持,在今年10月份因Racknerd机房硬盘事故,导致本站静态文件全部丢失,包含主题插件网站图片等文件,TypechoWiki经过几次更换站长,凝结了多位站长的心血,如今因为大意只备份了数据库未及时备份静态文件而导致严重数据丢失事故,现已无力回天,经过深思我决定后续可能永久停更该网站,请各位读者寻求其它Typecho周边下载站,另外如果你对本站感兴趣也欢迎报价,我们愿意出售该站联系邮箱[email protected],目前该站的静态文件仅为2019年以前的版本,2019年以后的各位站长精心维护的插件和主题压缩包以及站内图片全部丢失!

npm软件包网站被滥用,开发者上传超 700 个《武林外传》切片视频

Typecho维基君站长快讯 • 183次浏览 • 发布 2024-02-15 • 更新 2024-02-15

npm 是一个 Node.js 包管理和分发工具,于 2020 年被 Github 收购,开发者可在该仓库上传托管或下载软件包。

然而由于 npm 的免费特性,一些开发者把它当成了电子书或视频的存储工具。

npm 软件包网站被滥用,开发者上传超 700 个《武林外传》切片视频

近日,Sonatype 安全研究团队发现 npm 注册表中充斥着 748 个奇特的“软件包”,每个包的大小约为 54.5 MB,并以“wlwz”前缀命名,后面跟着一串数字,预计是用来重建文件的排列序号。

npm 软件包网站被滥用,开发者上传超 700 个《武林外传》切片视频

时间戳显示,这些包至少自 2023 年 12 月 4 日起就一直存在于 npm 注册表中,但 GitHub 在本月开始从 npmjs.com 注册表中删除它们。

npm 软件包网站被滥用,开发者上传超 700 个《武林外传》切片视频

报告称,这个名为 wlwz 的用户上传了超 700 个 .ts 视频切片文件(ts 不是 TypeScript 文件,而是 transport stream 的缩写,一般用于流式视频传输),安全研究团队打开一看,是来自东方大陆的电视剧视频,不过该团队没有查到《武林外传》的名字。

npm 软件包网站被滥用,开发者上传超 700 个《武林外传》切片视频

npm 软件包网站被滥用,开发者上传超 700 个《武林外传》切片视频

有趣的是,某些包(例如“wlwz-2312”)在 JSON 文件中包含B站视频弹幕信息,被安全研究团队当成了普通话字幕。

npm 软件包网站被滥用,开发者上传超 700 个《武林外传》切片视频

目前这个名为 wlwz 的用户账号已经删除。

npm 软件包网站被滥用,开发者上传超 700 个《武林外传》切片视频

广告声明:文内含有的对外跳转链接(包括不限于超链接、二维码、口令等形式),用于传递更多信息,节省甄选时间,结果仅供参考,Typecho.Wiki所有文章均包含本声明。
厂商投放

【腾讯云】🎉五一云上盛惠!云服务器99元/月续费同价!

腾讯云五一劳动节海量产品 · 轻松上云!云服务器首年1.8折起,买1年送3个月!超值优惠,性能稳定,让您的云端之旅更加畅享。快来腾讯云选购吧!

广告
添加新评论 »