npm 被滥用 — 有人上传了 700 多个武林外传切片视频

最新推荐文章于 2024-05-08 23:56:54 发布
最新推荐文章于 2024-05-08 23:56:54 发布
阅读量22 收藏
点赞数
文章标签: npm 音视频 前端 node.js
原文链接:https://mp.weixin.qq.com/s?__biz=MzU3MDAyNDgwNA==&mid=2247499249&idx=1&sn=1cfba94151c06c5626dfbebb24a64538&chksm=fd25b8313fa0b4f30c11e56f886ff0a39cd2e2a3a1216fc3b60a25c7d8f6d6fdff56eea7abcb&scene=126&sessionid=0
版权

Sonatype 安全研究团队近日介绍了一起滥用 npm 的案例 —— 他们发现托管在 npm 的 748 个软件包实际上是视频文件。

据介绍,这些软件包每个大小约为 54.5MB,包名以 “wlwz” 作为前缀,并附带了应该是代表日期的数字。时间戳显示,这些包至少自 2023 年 12 月 4 日起就一直存在于 npm,但 GitHub 上周已经开始删除。

790d37cbd5301868957a9ea2f16a7820.png 1abe756eac1e27dbee1ac7a7585e6be8.png

每个包中都有以 “.ts” 扩展名结尾的视频剪辑,这表明这些视频剪辑是从 DVD 和蓝光光盘中翻录的。

这里的 ts 不是 TypeScript 文件,而是 transport stream 的缩写,全称为 “MPEG2-TS”:
MPEG2-TS 传输流(MPEG-2 Transport Stream;又称 MPEG-TS、MTS、TS)是一种标准数字封装格式,用来传输和存储视频、音频与频道、节目信息,应用于数字电视广播系统,如 DVB、ATSC、ISDB [3]:118、IPTV 等。

4d39035b4e5f10813fed689cf4c684d7.png faefdfc8f6a5e1fcf42a298987ee6258.png

此外,某些包(例如 “wlwz-2312”)在 JSON 文件中包含普通话字幕。

b72b7a907a755188c64889594886bfac.png

虽然这些视频不会像挖矿程序、垃圾邮件包和依赖性恶意软件那样毒害社区,但这种把开源基础设施当 CDN 的操作无疑是破坏了规则,也违反了供应商的服务条款,各位耗子尾汁吧。

转自:OSC开源社区

相关链接:https://blog.sonatype.com/npm-flooded-with-748-packages-that-store-movies

zz_jesse
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
npm-multi-publish:将npm软件包发布到多个注册表
05-01
npm-multi-publish 将npm软件包发布到多个注册表 :male_sign:‍:male_sign: 为什么? :fire: 高兼容性可以与任何使用npm publish或yarn publish东西一起使用! :high_voltage: 易于设置只需将其添加到您的npm发布...
利用nvm管理多个版本的node.jsnpm详解
01-20
nvm 是 NodeJS 的多版本管理工具,有点类似管理 Ruby 的 rvm,如果是需要管理 Windows 下的 node,官方推荐是使用 nvmw 或 nvm-windows 。 卸载已安装的全局 node/npm 在官网下载的 node 安装包,运行后会自动安装在...
madrun:CLI工具以极其舒适的方式运行多个npm脚本
05-01
CLI工具以一种极其舒适的方式运行多个npm-scripts。 可以和一起使用。 安装 npm i madrun -g 用法 您应该做的第一件事是创建.madrun.js文件。 可以使用以下方法完成: madrun --init madrun将所有脚本导入.madrun...
npm script命令同时进行多个监听服务的方法
09-15
主要介绍了npm script命令同时进行多个监听服务的方法,非常不错,具有一定的参考借鉴价值,需要的朋友参考下吧
npm install 卡在reify:rxjs: timing reifyNode的解决办法
XuanRan的博客
05-08 163
npm install 卡在reify:rxjs: timing reifyNode的解决办法
npm无法安装node-sass 的问题
持 开源思想,撰 必胜所学,望 勤学者,无难处
05-08 109
为什么改为高版本,原因是在淘宝镜像中v4.12.0 以上版本才有:win32-x64-72_binding.node 这个文件,如果你还是使用v4.9.0,会依然报错。该文件在本地 C:\Users\admin\AppData\Roaming\npm-cache\node-sass\4.14.1。安装 node-sass 的问题呈现:4.9.0版本无法下载。找到项目下的: package.json 》》》原因是404,无法访问该路径的资源。
【全网首出】npm run serve报错 Expression: thread_id_key != 0x7777
m0_52379411的博客
05-03 958
【代码】【全网首出】npm run serve报错 Expression: thread_id_key!= 0x7777。
Npm Install Docusaurus Demo【npm 安装 docusaurus 实践 】
爱死亡机器人
05-08 694
Docusaurus是一个facebook的开源项目,旨在帮助开发者构建易于维护和部署的文档网站。它提供了一个简单的方法来创建专业的文档网站,包括易于导航的页面、响应式设计和内置搜索功能。Docusaurus 非常适合开源项目、产品文档、团队内部文档等各种场景。易于使用:Docusaurus 提供了简单的命令行工具和预设模板,使得创建和维护文档网站变得轻而易举。响应式设计:文档网站可以自适应不同的设备和屏幕尺寸,确保在桌面、平板和手机上都能提供良好的阅读体验。
npm 常用指令介绍
qq_40868156的博客
05-08 476
npm(Node Package Manager)是一个非常流行的包管理工具,用于管理JavaScript项目中的依赖关系。在日常开发中,我们经常会使用npm来安装、更新、删除和发布包。本文将详细介绍npm的常用指令,帮助读者更好地了解和使用npm
npm详解:从入门到精通】
最新发布
m0_74187147的博客
05-08 411
npm(Node Package Manager)是Node.js生态系统中不可或缺的一部分,它为开发者提供了一种便捷的方式来管理Node.js项目的依赖关系。在本文中,我们将深入探讨npm的各个方面,从安装到高级用法,帮助读者从入门到精通npm的使用。
npm 使用总结
m0_54007573的博客
05-06 227
npm 使用总结
npm 安装 pnpm 时 报错 npm ERR! Unexpected token ‘.‘
学习前端这门手艺,栈底到栈顶依次是:浏览器架构、Web 网络、事件循环机制、JavaScript 核心、V8 的内存管理、浏览器的渲染流程、Web 安全、CSS、React、Vue、Node、构建工具链等
04-30 277
我看网上的一些解决方案是说 nvm 版本过低导致,下面我们按照这个方向处理。然后 cmd 或者 powershell 执行 nvm,就可以看到更新到了。一个项目用的是 pnpm 安装的依赖,node 的版本是。最后就可以安装 pnpm 了,发现安装成功,搞定。双击执行,选择自己需要的版本。更新完成之后会出现下面提示。还需要重装 node 版本。
运行npm install时报错“npm ERR! code 1”
戏拈秃笔的博客
05-08 215
主要问题是node-sass和sass-loader版本冲突
NPM和GitLab
weixin_41247583的博客
05-06 721
通过 GitLab 托管源代码和使用 CI/CD 自动化构建和测试流程,同时利用 GitLab 作为私有 NPM 仓库来共享和管理依赖,你可以创建一个高效、安全和可控的开发环境。NPM(Node Package Manager)是 JavaScript 的包管理工具,主要用于管理 Node.js 的模块和包。将 NPM 和 GitLab 结合使用可以大幅提高 JavaScript 和 Node.js 开发项目的效率和安全性。NPM 可以与 GitLab 配合使用来管理私有或自定义的 Node.js 包。
【简单讲解下npm常用命令】
2301_81357485的博客
05-03 658
💫npm(Node Package Manager)是JavaScript编程语言的包管理器,用于安装、共享和管理依赖关系中的Node.js
npm安装指定版本,npm删除依赖,卸载依赖
05-08 115
npm中安装指定的版本号,格式为 ‘包名@版本号’注意:已有版本的情况下需要先删除依赖,不能直接在package.json中改版本号,因为package-lock.json中仍然是修改前的版本号。
深入探索:npm详解
不会做饭的程序员的博客
05-08 623
通过本文的介绍,我们详细了解了npm的使用方法,以及如何将自己的资源和Vue组件发布至npmnpm作为JavaScript生态系统中的重要组成部分,为前端开发者提供了便捷、高效的包管理和分享平台,帮助他们更好地构建和维护自己的项目。希望本文能够对你有所帮助,欢迎开始使用npm,并将你的资源分享给更多的开发者!
【CV】视频图像滤波技术
ZSZ_shsf的博客
05-08 379
视频图像滤波是机器视觉领域中的重要技术之一,它可以有效地去除图像中的噪声、平滑图像、增强图像特征等。本文简要探讨视频图像滤波的原理、常用算法和应用场景。
硬件知识积累 音频插座的了解,看音频插座的原理图来了解音频插座的引脚。
she666666的博客
05-08 408
1. 音频接口 2. 音频插座的结构 3. 音频插座原理
npm如何同时安装多个模块
02-06
可以在 npm install 命令后加上多个模块名称,用空格隔开,如下所示: ``` npm install module1 module2 module3 ``` 也可以在 package.json 文件的 dependencies 属性中添加多个模块,在运行 npm install 命令时会...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值