发布日期:2025-03-27 22:22 点击次数:148
npmmirror 镜像站(原 CNPM)中枢栽种者在酬酢平台 表 示 奇米色,有东谈主诳骗 npm 包的机制,将刚开播的《庆余年 2》整套高清盗版资源搬运到了 npmmirror。
好家伙,这是把托管开源软件包的镜像站当成了分发视频的 CDN。
因此栽种者无奈地说谈,npmmirror 当今已暂停 unpkg 的【新增文献】干事,不再理会新的包版块,但存量的仍会保留,是以不会影响使用者确现时业务。
没知道什么酷爱的话请看 GPT-4o 解读:奇米色
unpkg 先容
unpkg 是一个快速的、全球性的、免费的人人 npm 包 CDN,它允许你通过 URL 来探访 npm 上的包。它由 Cloudflare 提供复古,不错提供快速的下载速率和煦存干事。 使用 unpkg,你不错很容易地在网页中包含 JavaScript 库、CSS 框架等,而不需要下载它们到你的干事器。 举例,如若你思在你的网页中使用 jQuery,你不错通过 unpkg 提供的联贯来援用它: 这个联贯会指向 jQuery 3.5.1 版块的 CDN 地址,你不错左证需要替换版块号。 unpkg 还复古通过旅途来探访包的内容,举例: 这个联贯会指向 Bootstrap 4.5.0 版块的 CSS 文献。 使用 unpkg 不错极地面简化前端栽种中的资源处置,因为它提供了一个简短、快速的面目来引入第三方库。
以上头《庆余年 2》为例,这群薅羊毛的灰产团伙习用手法即是将盗版视频切成多少个体积较小的视频文献(虽然他们会用骚操作“艰涩”视频文献,这里不伸开),并将其上传到 npm(https://www.npmjs.com/package/lyq2/v/1.1.7-1),然后以 “软件包” 的面目援用它们。
除了视频文献,这群团伙将 m3u8 文献上传到了 unpkg(https://unpkg.com/lyq2@1.1.7-1/playlist.m3u8) 算作索引。
有了 “视频源文献” 和 “索引” 即可齐备在视频网站进行在线播放。
M3U8 是连年来寂静被无为使用的一种流媒身体式,它的全称是 UTF-8 编码的 M3U 文献。M3U,即 Media Playlist,是一种索引纯文本文献,主要用来纪灌音频、视频分块的列表。 当咱们翻开一个 M3U 文献时,播放软件并不是凯旋播放这个文献,而是左证文献中的索引找到对应的音视频文献的网罗地址进行在线播放。
而 npmmirror 算作 npmjs.com 镜像站,会同步 npm 圆善镜像至中国干事器(用的是阿里云),这内部就包括上述的盗版资源。用了国内的干事器,速率当然更快……
虽然这也不是盗版团伙第一趟干这种事了,前年海外的安全征询团队就先容了 npm 被粉碎的案例 —— 他们发现托管在 npm 的 748 个软件包实质上是视频文献(武林传说)。
黑丝写真Referencehttps://x.com/fengmk2/status/1791498406923215020奇米色
