Bendi新闻
>
npm又被滥用,灰产用《庆余年2》盗版资源——把开源公共基础设施的羊毛薅秃了

npm又被滥用,灰产用《庆余年2》盗版资源——把开源公共基础设施的羊毛薅秃了

6月前
npmmirror 镜像站(原 CNPM)核心开发者在社交平台,有人利用 npm 包的机制,将刚开播的《庆余年 2》整套高清盗版资源搬运到了 npmmirror。

好家伙,这是把托管开源软件包的镜像站当成了分发视频的 CDN。

因此开发者无奈地说道,npmmirror 目前已暂停 unpkg 的【新增文件】服务,不再解析新的包版本,但存量的仍会保留,所以不会影响使用者的当前业务。

没明白什么意思的话请看 GPT-4o 解读:

unpkg 介绍

unpkg 是一个快速的、全球性的、免费的公共 npm 包 CDN,它允许你通过 URL 来访问 npm 上的包。它由 Cloudflare 提供支持,可以提供快速的下载速度和缓存服务。

使用 unpkg,你可以很容易地在网页中包含 JavaScript 库、CSS 框架等,而不需要下载它们到你的服务器。

例如,如果你想在你的网页中使用 jQuery,你可以通过 unpkg 提供的链接来引用它:

<script src="https://unpkg.com/[email protected]/dist/jquery.min.js"></script>

这个链接会指向 jQuery 3.5.1 版本的 CDN 地址,你可以根据需要替换版本号。

unpkg 还支持通过路径来访问包的内容,例如:

<link href="https://unpkg.com/[email protected]/dist/css/bootstrap.min.css" rel="stylesheet">

这个链接会指向 Bootstrap 4.5.0 版本的 CSS 文件。

使用 unpkg 可以极大地简化前端开发中的资源管理,因为它提供了一个简单、快速的方式来引入第三方库。

以上面《庆余年 2》为例,这群薅羊毛的灰产团伙惯用手法就是将盗版视频切成若干个体积较小的视频文件(当然他们会用骚操作“掩饰”视频文件,这里不展开,并将其上传到 npm
(https://www.npmjs.com/package/lyq2/v/1.1.7-1),然后以 “软件包” 的方式引用它们。


除了视频文件,这群团伙将 m3u8 文件上传到了 unpkg
(
https://unpkg.com/[email protected]/playlist.m3u8) 作为索引。

有了 “视频源文件” 和 “索引” 即可实现在视频网站进行在线播放。

M3U8 是近年来逐渐被广泛使用的一种流媒体格式,它的全称是 UTF-8 编码的 M3U 文件。M3U,即 Media Playlist,是一种索引纯文本文件,主要用来记录音频、视频分块的列表。

当我们打开一个 M3U 文件时,播放软件并不是直接播放这个文件,而是根据文件中的索引找到对应的音视频文件的网络地址进行在线播放。

而 npmmirror 作为 npmjs.com 镜像站,会同步 npm 完整镜像至中国服务器(用的是阿里云),这里面就包括上述的盗版资源。用了国内的服务器,速度自然更快……

当然这也不是盗版团伙第一回干这种事了,去年国外的安全研究团队就介绍了 npm 被滥用的案例 —— 他们发现托管在 npm 的 748 个软件包实际上是视频文件(武林外传)。


延伸阅读npm被滥用——上传700多个武林外传切片视频

Reference
https://x.com/fengmk2/status/1791498406923215020

END


热门文章

前端第一可视化库、百度知名开源项目——ECharts创始人“下海”养鱼

15年前被钉在“FFmpeg耻辱柱”,今天他却得谢谢咱——腾讯QQ影音一雪前耻?

搞了3年开源,年收入超200万,什么水平?

VS Code劲敌、Atom原作者主导、Rust编写的“最好”编辑器——Zed开始支持Linux

华为立大功、为中国工业软件里程碑贡献全部开源代码


微信扫码关注该文公众号作者

来源:OSC开源社区

相关新闻

《庆余年2》盗版资源惊现NPM平台,逆天操作。。。《庆余年2》赚麻了,但解决不了阅文的困境每集8个广告,《庆余年2》赚麻了!热搜第一!全网沸腾,《庆余年》的大结局出来了!?热搜第一!等了4年半,《庆余年2》终于定档了!已有近1500万人预约,网友:“早饭没吃就等你的范来了”《庆余年》这团队的PPT,真的太牛了吧!比《庆余年》炸裂话题还多,它承包了宋元明清四大王朝的热搜榜洗白失败的《新生》,又把女人拖下水了冲刺备考!众多考生推荐的《24年CFA冲刺笔记》你用了吗?是时候开始备考了!众多考生推荐的《24年CFA冲刺笔记》你用了吗?游戏论|游戏逻辑的逆转与《完蛋!我被美女包围了》的否定性——兼与邓剑、武泽威、彭天笑商榷研发4年改了又改,难产的《植物大战僵尸3》今年真要来了,长啥样?开源日报 | AI PC价值在哪?Windows格式化对话框的UI用了30年;丑头像生成器;独立Redis Copyleft分支《流浪地球2》里神奇的同声传译器,2024年就变成现实了?年入21亿!开进商场的“路边摊”,又把年轻人套路了?《隐秘的角落》爆火3年后,他又杀回来了用AI写论文会被拒收吗?《Nature》帮你总结了主流SCI出版社的观点……(附免费发文干货)爆屏的《我妻之死》作者回应质疑:有11年承担家庭全部支出!网上又炸了…npm被滥用——上传700多个武林外传切片视频国家大基金三期来了!投资风向吹向哪?你看庆余年2了吗?Costco退货太逆天!用了2年的沙发竟全额退款!理由任性...Costco太豪横!女子把用了两年的旧沙发给退了,还收到全额退款!网友吵翻了...堪比“零元购”?美国女子退用了2年多的沙发,Costco给她全额退货!豆瓣9.2分神作!改版N次,终于有孩子喜欢读的《上下五千年》了
logo
联系我们隐私协议©2024 bendi.news
Bendi新闻
Bendi.news刊载任何文章,不代表同意其说法或描述,仅为提供更多信息,也不构成任何建议。文章信息的合法性及真实性由其作者负责,与Bendi.news及其运营公司无关。欢迎投稿,如发现稿件侵权,或作者不愿在本网发表文章,请版权拥有者通知本网处理。