npm又被滥用，灰产用《庆余年2》盗版资源——把开源公共基础设施的羊毛薅秃了

来自公众号： OSC开源社区

链接：https://www.oschina.net/news/293169/npmmirror-lyq2

好家伙，这是把托管开源软件包的镜像站当成了分发视频的 CDN。

因此开发者无奈地说道， npmmirror 目前已暂停 unpkg 的【新增文件】服务 ，不再解析新的包版本，但存量的仍会保留，所以不会影响使用者的当前业务。

没明白什么意思的话请看 GPT-4o 解读：

unpkg 介绍

unpkg 是一个快速的、全球性的、免费的公共 npm 包 CDN， 它允许你通过 URL 来访问 npm 上的包 。它由 Cloudflare 提供支持，可以提供快速的下载速度和缓存服务。

使用 unpkg，你可以很容易地在网页中包含 JavaScript 库、CSS 框架等，而不需要下载它们到你的服务器。

例如，如果你想在你的网页中使用 jQuery，你可以通过 unpkg 提供的链接来引用它：

<script src="https://unpkg.com/[email protected]/dist/jquery.min.js">script>

这个链接会指向 jQuery 3.5.1 版本的 CDN 地址，你可以根据需要替换版本号。

unpkg 还支持通过路径来访问包的内容，例如：

<link href="https://unpkg.com/[email protected]/dist/css/bootstrap.min.css" rel="stylesheet">

这个链接会指向 Bootstrap 4.5.0 版本的 CSS 文件。

使用 unpkg 可以极大地简化前端开发中的资源管理，因为它提供了一个简单、快速的方式来引入第三方库。

以上面《庆余年 2》为例，这群薅羊毛的灰产团伙惯用手法就是将盗版视频切成若干个体积较小的视频文件（ 当然他们 会用骚操作“掩饰”视频文件 ，这里不展开 ） ，并将其上传到 npm
( https://www.npmjs.com/package/lyq2/v/1.1.7-1 )，然后以 “软件包” 的方式引用它们。

除了视频文件，这群团伙将 m3u8 文件上传到了 unpkg
( https://unpkg.com/[email protected]/playlist.m3u8 ) 作为索引。

有了 “视频源文件” 和 “索引” 即可实现在视频网站进行在线播放。