npmjs.com是一个视频和电子书托管平台--虽然不是我们说的,但最近看到一些用户(和攻击者)滥用该平台来存储多GB电影、视频和电子书等媒体,似乎就是这么想的。今天,Sonatype 安全研究团队发现有748 个包充斥着npm ,与包含恶意软件相反,这些软件讲述了一个不同的故事...
谁需要 YouTube?开发人员找到了自己的视频托管服务
近来,npm、PyPI 和 GitHub 等软件开发存储库的用户发现了一些独特的使用案例,这些案例在技术上偏离了这些平台设计的核心目的--存储软件工件。
发布到这些服务的补丁和软件包经常包含恶意代码、恶意软件研究样本以及电影、影片和电子书等媒体内容。虽然多媒体资产当然可以而且经常是合法软件应用程序不可或缺的一部分,但 今天被抓获并被实时从 npm 注册表中清除的748 个软件包却包含视频文档,而且还有电视连续剧《武林外传》的盗版文档。
这些软件包被追踪为sonatype-2024-0284,,每个软件包的大小大约为54.5 MB ,命名时使用了"wlwz"(武林外传)前缀,后面跟着一组数字,也许是为了表示下载和处理这些软件包的顺序,以重建其中包含的整个剧集。时间戳显示,这些软件包至少从 2023 年 12 月 4 日起就一直存在于 npm 注册表中,但 GitHub 本周开始将它们从 npmjs.com 注册表中移除。
这些工件背后的 npm 用户名为wlwz,其前缀就包含在这些软件包的名称中。
每个软件包中都有以".ts"扩展名结尾的视频片段,这表明这些片段是从 DVD 和蓝光光盘中翻录的。(这里的".ts"扩展名不能与TypeScript 混淆)。
有些软件包(如"wlwz-2312")在 JSON 文件中包含普通话字幕。
这起事件与 2022 年的事件如出一辙,当时中国的开发人员被发现(滥用)GitHub 和 npm来存储成千上万本电子书,这可能是规避国家审查的一种手段。不过,这也完全有可能是滥用注册表来托管盗版材料。
我们经常发现并报道开放源码注册表充斥着数以百计的加密货币、垃圾软件包和依赖性混淆恶意软件的事件,这些事件说明了用户(和攻击者)使用此类注册表的创新方式,以及他们看似良性的行为如何最终威胁到这些平台乃至整个软件供应链的完整性和卫生。
总之,不要把视频上传到开放源码软件注册中心:至少你肯定违反了他们的服务条款。