npm 是一个 Node.js 包管理和分发工具，于 2020 年被 Github 收购，开发者可在该仓库上传托管或下载软件包。

然而由于 npm 的免费特性，一些开发者把它当成了电子书或视频的存储工具。

近日，Sonatype 安全研究团队发现 npm 注册表中充斥着 748 个奇特的“软件包”，每个包的大小约为 54.5 MB，并以“wlwz”前缀命名，后面跟着一串数字，预计是用来重建文件的排列序号。

时间戳显示，这些包至少自 2023 年 12 月 4 日起就一直存在于 npm 注册表中，但 GitHub 在本月开始从 npmjs.com 注册表中删除它们。

报告称，这个名为 wlwz 的用户上传了超 700 个 .ts 视频切片文件（ts 不是 TypeScript 文件，而是 transport stream 的缩写，一般用于流式视频传输），安全研究团队打开一看，是来自东方大陆的电视剧视频，不过该团队没有查到《武林外传》的名字。

有趣的是，某些包（例如“wlwz-2312”）在 JSON 文件中包含B站视频弹幕信息，被安全研究团队当成了普通话字幕。

IT之家访问 npm 网站发现，这个名为 wlwz 的用户账号已经删除。

本文转载自IT之家，转载目的在于传递更多信息，并不代表本站赞同其观点和对其真实性负责。如涉及作品内容、版权和其它问题，请联系IT之家通知我方删除，我方将在收到通知后第一时间删除内容！本文只提供参考并不构成任何投资及应用建议。本站拥有对此声明的最终解释权。