“现在,50% 以上的新 npm 软件包是 SEO 垃圾邮件”
作者 | 褚杏娟
审计公司 Sandworm 近日发文称,一周内,Sandworm 扫描的约 32 万个新 npm 包或版本中,至少有约 18.5 万个被标记为 SEO 垃圾邮件。也就是说,一半以上的新 npm 软件包都是空包,只有一个 README 文件,其中包含了指向各种恶意网站的链接。所有已识别的垃圾邮件包目前都在 npmjs.com 上。
2023 年 3 月 22 日至 29 日期间,攻击者概况
根据 Sandworm 的检测,大多数垃圾邮件都来自一个似乎针对讲俄语的人的 Telegram 频道,包的名字会与各种敏感话题的搜索相匹配,比如乌克兰战争或俄罗斯天然气工业股份公司 (Gazprom) 的投资决策。然而,包的描述如下:
永远没有财务之忧:一种新的赚钱方法可以让你足不出户就赚几百万。
这些链接指向一个恶意的、拥有超 7000 名成员的 Telegram 频道。在 Sandworm 分析的包中,包含这个相同 Telegram URL 的有 9.3 万个包。
第二大 SEO 垃圾邮件来源是更传统的在线免费书籍和视频广告。网站要求用户执行一系列任务以获得(不存在的)下载链接,基本方式是观看广告并与之互动。这些垃圾邮件包在 URL 中使用的域变化很大,因此更难检测。
参考链接:
https://blog.sandworm.dev/one-in-two-new-npm-packages-is-seo-spam-right-now
点击底部阅读原文访问 InfoQ 官网,获取更多精彩内容!
今日好文推荐
从8000元起步到年产值超800亿,藏在郊县里的农牧数字化探索者
文心一言员工跳槽工资翻倍;推特算法“面向老板编程”;马云回来了,阿里分拆了|Q资讯
刚刚!马斯克开源Twitter算法,GitHub Star数已破万
针锋相对!为挑战GPT-4加持的Copilot X,谷歌与拒绝被微软收购的Replit联合发布编码工具
相关文章
- npm ERR! ERESOLVE unable to resolve dependency tree的解决方法
- 玄学资料库(二)NPM、PYPI、DockerHub 备份
- 在npm安装vue-router报错npm ERR! code ERESOLVE npm ERR! ERESOLVE could not resolve
- 【随笔】npm- 更新所有依赖包
- npm link 原理以及如何更好地对编译后的包进行调试
- npm error code ELIFECYCLE
- 猿如意中【ndm】助你轻松管理你的 NPM包
- p5.js 使用npm安装p5.js后如何使用?
- npm run dev时报错“events.js:160 throw er; // Unhandled ‘error’ event”详解编程语言
- 配置Linux下NPM的路径(linuxnpm路径)
- 微软发现恶意 npm 软件包,可从 UNIX 系统窃取数据