npmjs.com是一個視訊和電子書託管平台–雖然不是我們說的，但最近看到一些用戶（和攻擊者）濫用該平台來存儲多GB電影、視頻和電子書等媒體，似乎就是這麼想的。今天，Sonatype 安全研究團隊發現有748 個套件充斥著npm ，與包含惡意軟體相反，這些軟體講述了一個不同的故事…

誰需要YouTube？開發人員找到了自己的影片託管服務

近來，npm、PyPI 和GitHub 等軟體開發儲存庫的使用者發現了一些獨特的使用案例，這些案例在技術上偏離了這些平台設計的核心目的–儲存軟體工件。

發佈到這些服務的修補程式和軟體包經常包含惡意程式碼、惡意軟體研究樣本以及電影、影片和電子書等媒體內容。雖然多媒體資產當然可以而且經常是合法軟體應用程式不可或缺的一部分，但今天被抓獲並被實時從npm 註冊表中清除的748 個軟體包卻包含視頻文檔，而且還有電視連續劇《武林外傳》的盜版文件。

這些軟體包被追蹤為sonatype-2024-0284，，每個軟體包的大小大約為54.5 MB ，命名時使用了”wlwz”（武林外傳）前綴，後面跟著一組數字，也許是為了表示下載和處理這些軟體包的順序，以重建其中包含的整個劇集。時間戳顯示，這些軟體包至少從2023 年12 月4 日起就一直存在於npm 註冊表中，但GitHub 本週開始將它們從npmjs.com 註冊表中移除。

這些工件背後的npm 使用者名稱為wlwz，其前綴就包含在這些軟體包的名稱中。

每個軟體包中都有以”.ts”副檔名結尾的影片片段，這表示這些片段是從DVD 和藍光光碟中翻錄的。(這裡的”.ts”副檔名不能與TypeScript 混淆）。

有些軟體包（如”wlwz-2312″）在JSON 檔案中包含國語字幕。

這起事件與2022 年的事件如出一轍，當時中國的開發人員被發現（濫用）GitHub 和npm來儲存成千上萬本電子書，這可能是規避國家審查的一種手段。不過，這也完全有可能是濫用註冊表來託管盜版資料。

我們經常發現並報告開放原始碼註冊表充斥著數以百計的加密貨幣、垃圾軟體包和依賴性混淆惡意軟體的事件，這些事件說明了用戶（和攻擊者）使用此類註冊表的創新方式，以及他們看似良性的行為如何最終威脅到這些平台甚至整個軟體供應鏈的完整性和衛生。

總之，不要把影片上傳到開放原始碼軟體註冊中心：至少你肯定違反了他們的服務條款。