感謝網友 Coje_He 的線索投遞！

1 月 31 日消息，npm 是一個 Node.js 包管理和分發工具，于 2020 年被 Github 收購，開發者可在該倉庫上傳托管或下載軟件包。

然而由于 npm 的免費特性，一些開發者把它當成了電子書或視頻的存儲工具。

近日，Sonatype 安全研究團隊發現 npm 注冊表中充斥著 748 個奇特的“軟件包”，每個包的大小約為 54.5 MB，并以“wlwz”前綴命名，后面跟著一串數字，預計是用來重建文件的排列序號。

時間戳顯示，這些包至少自 2023 年 12 月 4 日起就一直存在于 npm 注冊表中，但 GitHub 在本月開始從 npmjs.com 注冊表中刪除它們。

報告稱，這個名為 wlwz 的用戶上傳了超 700 個 .ts 視頻切片文件（ts 不是 TypeScript 文件，而是 transport stream 的縮寫，一般用于流式視頻傳輸），安全研究團隊打開一看，是來自東方大陸的電視劇視頻，不過該團隊沒有查到《武林外傳》的名字。

有趣的是，某些包（例如“wlwz-2312”）在 JSON 文件中包含B站視頻彈幕信息，被安全研究團隊當成了普通話字幕。

訪問 npm 網站發現，這個名為 wlwz 的用戶賬號已經刪除。

廣告聲明：文內含有的對外跳轉鏈接（包括不限于超鏈接、二維碼、口令等形式），用于傳遞更多信息，節省甄選時間，結果僅供參考，所有文章均包含本聲明。

投訴水文 我要糾錯

總結

以上是生活随笔為你收集整理的npm 软件包网站被滥用，开发者上传超 700 个《武林外传》切片视频的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。