npm存储库被滥用 中国开发者上传《武林外传》等大量盗版视频

npm存储库被滥用中国开发者上传《武林外传》等大量盗版视频谁需要YouTube?开发人员找到了自己的视频托管服务近来,npm、PyPI和GitHub等软件开发存储库的用户发现了一些独特的使用案例,这些案例在技术上偏离了这些平台设计的核心目的--存储软件工件。发布到这些服务的补丁和软件包经常包含恶意代码、恶意软件研究样本以及电影、影片和电子书等媒体内容。虽然多媒体资产当然可以而且经常是合法软件应用程序不可或缺的一部分,但今天被抓获并被实时从npm注册表中清除的748个软件包却包含视频文档,而且还有电视连续剧《武林外传》的盗版文档。这些软件包被追踪为sonatype-2024-0284,,每个软件包的大小大约为54.5MB,命名时使用了"wlwz"(武林外传)前缀,后面跟着一组数字,也许是为了表示下载和处理这些软件包的顺序,以重建其中包含的整个剧集。时间戳显示,这些软件包至少从2023年12月4日起就一直存在于npm注册表中,但GitHub本周开始将它们从npmjs.com注册表中移除。这些工件背后的npm用户名为wlwz,其前缀就包含在这些软件包的名称中。每个软件包中都有以".ts"扩展名结尾的视频片段,这表明这些片段是从DVD和蓝光光盘中翻录的。(这里的".ts"扩展名不能与TypeScript混淆)。有些软件包(如"wlwz-2312")在JSON文件中包含普通话字幕。这起事件与2022年的事件如出一辙,当时中国的开发人员被发现(滥用)GitHub和npm来存储成千上万本电子书,这可能是规避国家审查的一种手段。不过,这也完全有可能是滥用注册表来托管盗版材料。我们经常发现并报道开放源码注册表充斥着数以百计的加密货币、垃圾软件包和依赖性混淆恶意软件的事件,这些事件说明了用户(和攻击者)使用此类注册表的创新方式,以及他们看似良性的行为如何最终威胁到这些平台乃至整个软件供应链的完整性和卫生。总之,不要把视频上传到开放源码软件注册中心:至少你肯定违反了他们的服务条款。...PC版:https://www.cnbeta.com.tw/articles/soft/1415071.htm手机版:https://m.cnbeta.com.tw/view/1415071.htm

相关推荐

封面图片

npm 软件包网站被滥用,开发者上传超 700 个《武林外传》切片视频

npm软件包网站被滥用,开发者上传超700个《武林外传》切片视频npm是一个Node.js包管理和分发工具,于2020年被Github收购,开发者可在该仓库上传托管或下载软件包。或许因为npm的免费特性,一些开发者把它当成了电子书或视频的存储工具。近日,Sonatype安全研究团队发现npm注册表中存在一些以“wlwz”前缀命名的“软件包”,打开发现是.ts视频切片文件。某些包(例如“wlwz-2312”)甚至在JSON文件中存放B站视频弹幕信息。目前上传者“wlwz”账号已经删除。投稿:@TNSubmbot频道:@TestFlightCN
封面图片

这些中国开发者在GitHub和npm上存储了1000本电子书,其中包含《经济学人》等被禁网站的内容 | 详文

这些中国开发者在GitHub和npm上存储了1000本电子书,其中包含《经济学人》等被禁网站的内容上周,Socket的自动npm分析引擎在缺少许可证信息的列表中标记了一个名为“yingwen-lianmeng-erlingyiqilingjiu-erlingereryiling”的软件包。该软件包('wizardforcel')的发布了超过2900个相同的软件包。截至11月1日星期二,这一数字跃升至3387。仔细观察后,Socket的高级软件工程师MikolaLysenko注意到解压缩的npm包的大小为79MB,它包含一个EPUB(电子书)文件。这套1000多个npm包在内容方面非常多样化。其中一些包含流行开源框架的开发人员文档的中文翻译。其他是在某些司法管辖区可能受到审查的作品的电子书翻译。还有一些人似乎对他们的版权状况表示怀疑——回购所有者是否在不知情或故意的情况下从事盗版?几乎所有这些软件包都归功于“ApacheCN”,这是一个GitHub组织,声称自己是“由iBooker建立的非营利项目文档和教程翻译项目”。在其网站上,ApacheCN明确表示该组织“与[Apache软件基金会]没有任何关系!目前尚不清楚iBooker试图实现的目标。在据称寻求建立一个中国开放信息共享平台的过程中,贡献者可能已经跨越了国际版权法下的“合理使用”和在线盗版之间的界限。
封面图片

npm软件包网站被滥用,开发者上传超700个《武林外传》切片视频TL;DR:用MPEG-2TransportStream冒充Ty
封面图片

Vitalik:Farcaster 将账户发送消息的注册表存储在链上,有利于成为强大的中立网络

Vitalik:Farcaster将账户发送消息的注册表存储在链上,有利于成为强大的中立网络针对X用户LironShapira“Farcaster消息存储在不使用区块链技术的集线器,Farcaster不是真正的区块链用例”的观点,以太坊联合创始人VitalikButerin回应表示,Farcaster请求是存储在一个CRDT中的,他们的目标是实现消息集的最终一致性,farcaster使用的唯一"链"是以太坊(通过Optimism)。以太坊的使用并非仅仅是为了用户名,它还存储了允许哪些账户发送消息的注册表,这些信息会被CRDT节点存储起来。这对反垃圾邮件至关重要,否则,每个人都会用它来备份加密硬盘、电影等。将注册表置于链上是使其既能不受中心化行为者控制,又能对抗女巫攻击。因此,为了使farcaster基础网络成为一个不依赖于单一实体的强大的中立网络,注册表发挥了关键作用。
封面图片

【Vitalik:Farcaster将账户发送消息的注册表存储在链上,有利于成为强大的中立网络】

【Vitalik:Farcaster将账户发送消息的注册表存储在链上,有利于成为强大的中立网络】2024年03月27日09点41分老不正经报道,针对X用户LironShapira“Farcaster消息存储在不使用区块链技术的集线器,Farcaster不是真正的区块链用例”的观点,以太坊联合创始人VitalikButerin回应表示:”Farcaster请求是存储在一个CRDT中的,他们的目标是实现消息集的最终一致性,farcaster使用的唯一"链"是以太坊(通过Optimism)。以太坊的使用并非"仅仅是为了用户名",它还存储了允许哪些账户发送消息的注册表,这些信息会被CRDT节点存储起来。这对反垃圾邮件至关重要,否则,每个人都会用它来备份加密硬盘、电影等。将注册表置于链上是使其既能(i)不受中心化行为者控制,又能(ii)对抗女巫攻击。因此,为了使farcaster基础网络成为一个不依赖于单一实体的强大的中立网络,注册表发挥了关键作用。“
封面图片

PyPI存储库遭到自动化提交恶意软件攻击后暂停注册10小时

PyPI存储库遭到自动化提交恶意软件攻击后暂停注册10小时PyPI中出现恶意软件已经是个超级平常的事情,这些恶意软件一方面针对开发者进行供应链攻击,另一方面也会窃取敏感信息包括加密钱包的数据等。尽管PyPI官方并未透露为什么暂停注册和提交软件,不过事后安全公司Checkmarx称,在关闭注册前几个小时,PyPI遭到了黑客攻击。黑客当然不是DDoS,而是利用一种被称为拼写错误的技术批量提交大量恶意软件,有些开发者安装软件时可能会拼错单词,黑客只要批量提交足够多的恶意软件包,那肯定会有些命中开发者。研究人员分析后发现,黑客提交的恶意软件包具有以下目的:窃取加密钱包、浏览器中的敏感数据,包括Cookie、扩展数据等和各种凭证等,这只是第一阶段攻击,黑客还是用有效的恶意负载在重启系统后依然实现持久化。这些恶意软件可能都是自动化创建的,它们模仿流行的软件名称,PyPI官方如果靠手动封禁账号那可能是个巨大的工程,迫于无奈只能直接暂停新用户注册以缓解问题。此次PyPI暂停新用户注册超过10个小时,之后恢复了正常,不过接下来黑客还会继续提交更多恶意软件,所以开发者们下载安装软件时一定要谨慎。...PC版:https://www.cnbeta.com.tw/articles/soft/1425765.htm手机版:https://m.cnbeta.com.tw/view/1425765.htm

🔍 发送关键词来寻找群组、频道或视频。

启动SOSO机器人