这个空的 NPM 包竟然超过 80万次下载!!!

最新推荐文章于 2024-03-19 23:37:26 发布
最新推荐文章于 2024-03-19 23:37:26 发布
阅读量463 收藏
点赞数
文章标签: js css 编程语言 npm xhtml
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34998786/article/details/120108693
版权

让我告诉你这个不起眼的包,它在过去一年中产生了超过 80 万的下载量。

这个npm包是-

我们在Runkit尝试打印出它导出的模块,返回的是null,这个npm包就是一个赤裸裸的空包

为什么需要下载它?

令人难以置信的是,人们实际上正在下载这个包。并且每个月的下载量都在增加。下图说明了自软件包在 npm 上发布以来的下载次数。

但是,如果这让您感到惊讶,请等到我告诉你更疯狂的部分。它被用作超过 60个npm包的依赖项。

我们随便打开一个依赖-包的仓库,以black-ts为例子

这个-包安静的躺在dependencies依赖项,而且还是dependencies!!!,突然觉得后背发凉

如果我告诉你,你也将它下载到你的项目中呢?它发生在你甚至不知道的情况下。也许它正静静地坐在你的package.json现在。而你对此一无所知。也许你是 800,000 人中的一员,不信你可以检查一下

那么我们为什么会安装它呢?

我们都知道为了安装npm包,我们需要运行以下命令之一。但是,我们写的命令有很多种变体,但不一定都是对的。

npm i package
# or
npm install --save package
# or 
npm i -g package

有时您过早按下空格键,有时您忘记了一个字母。或者,如果你像我一样,有时最终会写出完全不同的东西。关键是,很容易打错字。注意-和g的间距

npm i - g package  // ❌

也就是作者发现了我们这种行为方式,专门搞了这个-包,真是个鬼才最后作者Dmitry澄清说,虽然该软件包目前没有做任何事情,但他计划扩展它,当人们试图意外安装它时抛出错误消息。虽然这听起来毫无意义,但它最终可以为您节省1kb的包大小。

为什么-包可能是危险的?

虽然-现在没有危险,但如果你的项目中不小心安装到它,然后发布到生产,一旦存在安全漏洞,你的用户数据等等都会被窃取,妥妥的事故

所以一般公司都会配套代码检测工具等安全扫描工具,可以把关项目的安全,但是作为开发还是要提高自己的素养

参考文献

  • https://www.npmjs.com/package/-

  • https://www.npmjs.com/package/black-ts

落落落落克
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
$ npm install -g truffle npm ERR! code EEXIST错误解决方法
01-07
安个truffle折磨了我好几天 今天终于安装好了 翻了好多博客都没找到答案 是我读出错信息解决的 由此可见 出错信息还是不易忽视的 $ npm install -g truffle npm ERR! code EEXIST npm ERR! path E:\software\nn\...
下载量近400万次的NPM流行可遭劫持,可影响千余家组织机构
smellycat000的专栏
02-20 811
聚焦源代码安全,网罗国内外最新资讯!专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成为当今社会的根本性、基础性问题。随着软件产业的快速发展,软件供应链也越发复杂多元,复杂的软件供应链会引入一系列的安全问题,导致信息系统的整体安全防护难度越来越大。近年来,针对软件供应链的安全攻击事件一直呈快速增长态势,造成的危...
【趣味项目】NPM下载量日报
最新发布
xxhls的博客
03-19 591
NPM自动发送下载日报邮件
数亿下载量的npm被“投毒”,前端开源将如何?
CSDN资讯
03-18 6921
开发者以node-ipc进行供应链投毒,再次引发安全问题大讨论
查看 npm 下载量(简单快捷,数据精确)
卡尔特斯
11-01 1159
网址,输入名,点击。,时间不填默认近一年。
关于npm i出现的安全漏洞问题
for_tonight的博客
05-04 460
该命令会在你更新或者安装了新的依赖后自动运行。npm audit fix 是自动修复版本安全问题的,会版本修复到可用的安全版本,然后如果npm audit fix无效的,切记慎用npm audit fix --force 这个是强制将版本更新到最新可用的安全版本,如果盲目使用的话可能会造成依赖问题(如A依赖B,结果B强制更新,依赖找不到了),所以需要使用npm audit查看具体问题与可解决的版本。下面会对npm aduit命令使用后的漏洞信息进行讲解。
npm下载量破 3.94亿次,Bootstrap 发布十周年
mengyidan的专栏
08-23 2450
近日,知名前端框架 Bootstrap 在官博宣布十周年 Bootstrap 是由 Twitter 的 Mark Otto 和 Jacob Thornton 开发的。Bootstrap 是 2011 年八月在 GitHub 上发布的开源产品。
如何查看自己NPM发布下载
heartOfblack 离开了电脑,我不希望我还有病
01-05 9175
官方平台上只有短暂的统计,比如最后一天,最后一周以及最后一个月的下载量。 想要看自己总的下载量,需要安装一个工具 npm i npm-user-downloads [-g] 安装完成后 输入命令: nud heartofblack last-month --limit=50 //heartofblack是我的NPM账户名,last-month是查询的时间,最后一个月 查询条件分为...
npm ERR! code EPERM npm ERR! syscall open npm ERR! path C:\Program Files\nodejs\node_cache\_cacache\
01-07
npm ERR! code EPERM npm ERR! syscall open npm ERR! path C:\Program Files\nodejs\node_cache\_cacache\tmp\9600794e npm ERR! errno -4048 npm ERR! Error: EPERM: operation not permitted, open 'C:\Program ...
npm-package-template:一个 npm 模板
05-30
一个 npm 模板。 安装 使用 Git 克隆存储库: $ git clone https://github.com/remarkablemark/npm-package-template.git $ cd npm-package-template 或使用 ZIP 下载存储库: $ curl -LO ...
Npm-User-Packages-Downloads:获得每位作者的npm软件以及下载数量
05-23
Npm-用户-下载 获得每位作者的npm软件以及下载数量 用法 const npmUserPackagesDownloads = require ( 'mpm-user-packages-downloads' ) npmUserPackagesDownloads ( 'tiagodanin' , '2017-12-03:2018-12-11' ) . then ( ( data ) => console . log ( data ) ) 安装 这是可通过使用的模块。 可以使用或命令行工具进行安装。 npm install npm-user-packages-downloads --save 依存关系 :针对浏览器和node.js的基于Promise的HTTP客户端 :由npm用户获取软件 执照 麻省理工学院
npmstat:npm软件下载统计数据
05-26
npmstat npm软件统计 安装 $ npm install --save npmstat 用法 const npmstat = require ( 'npmstat' ) npmstat . getPackage ( 'npmstat' ) . then ( res => res ) // => { name: 'npmstat', description: 'npm package stats', ... } npmstat . getPackages ( 'bukinoshita' ) . then ( res => res ) // => [{ name: 'react-cookies', version: '0.1.0', ... }, { name: 'is-github-repo', version: '0.2.0', ... }, ...] npmstat .
npm-app-stats:NPM 统计信息
06-15
npm 下载统计 工作正在进行中。 获取某个日期范围内许多 npm 模块的下载统计信息,并以友好的方式输出它们。
nvm的npm版本!!
10-16
nvm的npm版本!!
详解离线安装npm的几种方法
10-17
主要介绍了详解离线安装npm的几种方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
关于npm run build打后css样式中的图片失效的问题(如background)
weixin_30481087的博客
07-09 1061
平时run dev都能正常显示的css背景图片在npm run build打竟然不显示了(写在标签对中的图片都可以正常显示),而且dist/static/img目录下是确实有这张图片的,于是查看打后的dist/static/css目录下的css文件 发现打生成的图片路径为background:url(static/img/bg.9a5d8a4.png); 路径是错的,css文件的...
npm中有图片等资源时无法加载
weixin_47359038的博客
03-20 2413
引用依赖时无法加载图片等资源
NPM 修复两个严重漏洞但无法确认是否已遭在野利用,可触发开源软件供应链攻击...
smellycat000的专栏
11-17 281
聚焦源代码安全,网罗国内外最新资讯!编译:代码卫士专栏·供应链安全数字化时代,软件无处不在。软件如同社会中的“虚拟人”,已经成为支撑社会正常运转的最基本元素之一,软件的安全性问题也正在成...
npm run build打后css里的图片地址失效图片不显示的解决办法
南北极之间
07-28 825
主要添加一句代码就行: 找到项目目录下的build/utils.js 然后: publicPath:’…/…/’,//添加这一行 // Extract CSS when that option is specified // (which is the case during production build) if (options.extract) { return ExtractTextPlugin.extract({ use: loaders,
jenkins打 npm run build报错 npm ERR! code ENOENT npm ERR! syscall open
09-21
这个错误是由于npm无法删除指定的目录,因为该目录不为所引起的。解决这个问题的方法是手动删除该目录,并确保它是的。你可以尝试以下步骤来解决这个问题: 1. 打开终端或命令提示符。 2. 导航到项目根目录下的`...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值