npmjs.com是一個視頻和電子書托管平臺--雖然不是我們說的,但最近看到一些用戶(和攻擊者)濫用該平臺來存儲多GB電影、視頻和電子書等媒體,似乎就是這麼想的。今天,Sonatype安全研究團隊發現有748個包充斥著npm,與包含惡意軟件相反,這些軟件講述一個不同的故事...
誰需要 YouTube?開發人員找到自己的視頻托管服務
近來,npm、PyPI 和 GitHub 等軟件開發存儲庫的用戶發現一些獨特的使用案例,這些案例在技術上偏離這些平臺設計的核心目的--存儲軟件工件。
發佈到這些服務的補丁和軟件包經常包含惡意代碼、惡意軟件研究樣本以及電影、影片和電子書等媒體內容。雖然多媒體資產當然可以而且經常是合法軟件應用程序不可或缺的一部分,但 今天被抓獲並被實時從 npm 註冊表中清除的748 個軟件包卻包含視頻文檔,而且還有電視連續劇《武林外傳》的盜版文檔。
這些軟件包被追蹤為sonatype-2024-0284,,每個軟件包的大小大約為54.5 MB ,命名時使用"wlwz"(武林外傳)前綴,後面跟著一組數字,也許是為表示下載和處理這些軟件包的順序,以重建其中包含的整個劇集。時間戳顯示,這些軟件包至少從 2023 年 12 月 4 日起就一直存在於 npm 註冊表中,但 GitHub 本周開始將它們從 npmjs.com 註冊表中移除。
這些工件背後的 npm 用戶名為wlwz,其前綴就包含在這些軟件包的名稱中。
每個軟件包中都有以".ts"擴展名結尾的視頻片段,這表明這些片段是從 DVD 和藍光光盤中翻錄的。(這裡的".ts"擴展名不能與TypeScript 混淆)。
有些軟件包(如"wlwz-2312")在 JSON 文件中包含普通話字幕。
這起事件與 2022 年的事件如出一轍,當時中國的開發人員被發現(濫用)GitHub 和 npm來存儲成千上萬本電子書,這可能是規避國傢審查的一種手段。不過,這也完全有可能是濫用註冊表來托管盜版材料。
我們經常發現並報道開放源碼註冊表充斥著數以百計的加密貨幣、垃圾軟件包和依賴性混淆惡意軟件的事件,這些事件說明用戶(和攻擊者)使用此類註冊表的創新方式,以及他們看似良性的行為如何最終威脅到這些平臺乃至整個軟件供應鏈的完整性和衛生。
總之,不要把視頻上傳到開放源碼軟件註冊中心:至少你肯定違反他們的服務條款。