Sonatype 安全研究团队近日介绍了一起滥用 npm 的案例——他们发现托管在 npm 的 748 个软件包实际上是视频文件。

据介绍，这些软件包每个大小约为 54.5MB，包名以 “wlwz” 作为前缀，并附带了应该是代表日期的数字。时间戳显示，这些包至少自 2023 年 12 月 4 日起就一直存在于 npm，但 GitHub 上周已经开始删除。

每个包中都有以“.ts”扩展名结尾的视频剪辑，这表明这些视频剪辑是从 DVD 和蓝光光盘中翻录的。

这里的 ts 不是 TypeScript 文件，而是 transport stream 的缩写，全称为 “MPEG2-TS”：

MPEG2-TS 传输流（MPEG-2 Transport Stream；又称 MPEG-TS、MTS、TS）是一种标准数字封装格式,用来传输和存储视频、音频与频道、节目信息，应用于数字电视广播系统，如DVB、ATSC、ISDB[3]:118、IPTV等。

此外，某些包（例如“wlwz-2312”）在 JSON 文件中包含普通话字幕。

虽然这些视频不会像挖矿程序、垃圾邮件包和依赖性恶意软件那样毒害社区，但这种把开源基础设施当 CDN 的操作无疑是破坏了规则，也违反了供应商的服务条款，各位耗子尾汁吧。