IT之傢 1 月 31 日消息,npm 是一個 Node.js 包管理和分發工具,於 2020 年被 Github 收購,開發者可在該倉庫上傳托管或下載軟件包。
然而由於 npm 的免費特性,一些開發者把它當成了電子書或視頻的存儲工具。
近日,Sonatype 安全研究團隊發現 npm 註冊表中充斥著 748 個奇特的“軟件包”,每個包的大小約為 54.5 MB,並以“wlwz”前綴命名,後面跟著一串數字,預計是用來重建文件的排列序號。
時間戳顯示,這些包至少自 2023 年 12 月 4 日起就一直存在於 npm 註冊表中,但 GitHub 在本月開始從 npmjs.com 註冊表中刪除它們。
報告稱,這個名為 wlwz 的用戶上傳了超 700 個 .ts 視頻切片文件(ts 不是 TypeScript 文件,而是 transport stream 的縮寫,一般用於流式視頻傳輸),安全研究團隊打開一看,是來自東方大陸的電視劇視頻,不過該團隊沒有查到《武林外傳》的名字。
有趣的是,某些包(例如“wlwz-2312”)在 JSON 文件中包含B站視頻彈幕信息,被安全研究團隊當成了普通話字幕。
IT之傢訪問 npm 網站發現,這個名為 wlwz 的用戶賬號已經刪除。
