npm又被滥用,灰产用《庆余年2》盗版资源——把开源公共基础设施的羊毛薅秃了
💡
原文中文,约1400字,阅读约需4分钟。
📝
内容提要
开发者发现盗版资源上传到npmmirror镜像站,暂停解析新包版本,存量保留。盗版团伙滥用npm和unpkg实现在线播放。npmmirror同步npm镜像至中国服务器。
🎯
关键要点
- npmmirror 镜像站发现盗版资源上传,暂停解析新包版本,存量保留。
- 盗版团伙利用 npm 和 unpkg 实现在线播放,上传《庆余年 2》高清盗版资源。
- unpkg 是一个公共 npm 包 CDN,允许通过 URL 访问 npm 包,简化前端开发中的资源管理。
- 盗版团伙将视频切割成小文件上传到 npm,以软件包方式引用,并将 m3u8 文件作为索引。
- M3U8 是一种流媒体格式,用于记录音频、视频分块的列表,支持在线播放。
- npmmirror 同步 npm 镜像至中国服务器,盗版资源也包含在内,速度更快。
- 这不是盗版团伙第一次滥用 npm,去年已有案例被发现。
❓
延伸问答
npmmirror 镜像站为什么暂停解析新包版本?
npmmirror 镜像站暂停解析新包版本是因为发现有人利用其机制上传盗版资源,特别是《庆余年 2》的高清盗版视频。
盗版团伙是如何利用 npm 和 unpkg 的?
盗版团伙将视频切割成小文件上传到 npm,以软件包方式引用,并将 m3u8 文件作为索引,实现在线播放。
什么是 m3u8 文件,它在盗版中有什么作用?
m3u8 文件是一种流媒体格式,用于记录音频、视频分块的列表,盗版团伙将其作为索引文件上传,以便实现在线播放。
npmmirror 镜像站的主要功能是什么?
npmmirror 镜像站主要用于同步 npm 的完整镜像至中国服务器,提供更快的访问速度。
unpkg 是什么,它如何帮助前端开发?
unpkg 是一个公共 npm 包 CDN,允许通过 URL 访问 npm 包,简化前端开发中的资源管理。
去年有哪些关于 npm 被滥用的案例?
去年有安全研究团队发现托管在 npm 的 748 个软件包实际上是视频文件,显示出 npm 被滥用的情况。
➡️
