《庆余年2》盗版资源被上传到 npm，导致 npmmirror 不得已暂停 unpkg 服务-低调大师

《庆余年2》盗版资源被上传到 npm，导致 npmmirror 不得已暂停 unpkg 服务

2024-05-19 408

npmmirror 镜像站（原CNPM）核心开发者在社交平台表示，有人利用 npm 包的机制，将刚开播的《庆余年2》整套高清盗版资源搬运到了 npmmirror。

好家伙，这是把托管开源软件包的镜像站当成了分发视频的 CDN。

因此开发者无奈地表示，npmmirror 目前已暂停 unpkg 的【新增文件】服务，不再解析新的包版本，但存量的仍会保留，所以不会影响使用者的当前业务。

unpkg 介绍

unpkg 是一个快速的、全球性的、免费的公共 npm 包 CDN，它允许你通过 URL 来访问 npm 上的包。它由 Cloudflare 提供支持，可以提供快速的下载速度和缓存服务。

使用 unpkg，你可以很容易地在网页中包含 JavaScript 库、CSS 框架等，而不需要下载它们到你的服务器。

例如，如果你想在你的网页中使用 jQuery，你可以通过 unpkg 提供的链接来引用它：
<script src="https://unpkg.com/jquery@3.5.1/dist/jquery.min.js"></script>
这个链接会指向 jQuery 3.5.1 版本的 CDN 地址，你可以根据需要替换版本号。

unpkg 还支持通过路径来访问包的内容，例如：
<link href="https://unpkg.com/bootstrap@4.5.0/dist/css/bootstrap.min.css" rel="stylesheet">
这个链接会指向 Bootstrap 4.5.0 版本的 CSS 文件。

使用 unpkg 可以极大地简化前端开发中的资源管理，因为它提供了一个简单、快速的方式来引入第三方库。

以上面《庆余年2》为例，这群薅羊毛的团伙惯用手法就是将盗版视频切成若干个体积较小的视频文件，并将其上传到 npm (https://www.npmjs.com/package/lyq2/v/1.1.7-1)，然后以“软件包”的方式引用它们。

除了视频文件，这群团伙将 m3u8 文件上传到了 unpkg (https://unpkg.com/lyq2@1.1.7-1/playlist.m3u8) 作为索引。有了“视频源文件”和“索引”即可实现在流媒体平台进行在线播放。

M3U8 是近年来逐渐被广泛使用的一种流媒体格式，它的全称是 UTF-8 编码的 M3U 文件。M3U，即 Media Playlist，是一种索引纯文本文件，主要用来记录音频、视频分块的列表。

当我们打开一个 M3U 文件时，播放软件并不是直接播放这个文件，而是根据文件中的索引找到对应的音视频文件的网络地址进行在线播放。

而 npmmirror 作为 npmjs.com 镜像站，会同步 npm 完整镜像至中国服务器（用的是阿里云），这里面就包括上述的盗版资源。用了国内的服务器，速度自然更快……

当然这也不是盗版团伙第一回干这种事了，去年国外的安全研究团队就介绍了 npm 被滥用的案例——他们发现托管在 npm 的 748 个软件包实际上是视频文件（武林外传）。

OpsPilot 1.4.0：引入消息总线，强化技能联动 🎉🎉🎉

大家好，我是你们的小助手OpsPilot，我来给大家带来一个好消息，我们的1.4.0版本已经发布啦！这次的版本更新，我们引入了事件总线，让技能之间能够灵活的联动，是不是很酷炫呢？✨✨ 在这个版本中，我们新增了钉钉消息通道和Gitlab代码审核能力，让你的运维工作更加便捷。同时，我们引入了事件总线，让技能之间的联动更加灵活，让你的运维工作更加高效。但是，我们也移除了AuthGen的支持，希望这不会给你带来太大的困扰。总的来说，这个版本的更新让OpsPilot的功能更加强大，更加适应你的运维需求。我们一直在努力，希望能为你提供更好的服务。下面是这个版本的更新内容： 🆕 新增钉钉消息通道 🆕 新增Gitlab代码审核能力 🆕 引入事件总线,技能之间联动更加灵活 🔄 优化移除AuthGen支持希望你会喜欢这个新版本，我们会继续努力，为你提供更好的服务。🥳🥳🥳

2024-05-18

366

作者：vivo 互联网大前端团队 - Ma Lian 本文主要描述了FileProvider，startAnyWhere实现，Parcel不对称漏洞以及这三者结合产生的漏洞利用实战，另外阐述了漏洞利用的影响和修复预防措施，这个漏洞波及了几乎所有的Android手机，希望能带给读者提供一些经验和启发。一、背景大家应该看到过一篇《2022年的十大安全漏洞与利用》的文章，文章中提到一个漏洞：利用Android Parcel序列化和反序列不匹配，借助应用FileProvider未限制路径，可以获取系统级startAnyWhere能力，从而获取用户敏感信息，修改系统配置，获取系统特权等等。这里面有三个关键词： Parcel不匹配漏洞 startAnyWhere FileProvider未限制路径看到以上，大家可能会就其中涉及到的几个点有些疑问： startAnyWhere是什么意思，是什么样的能力？ Parcel不匹配漏洞是什么原理，是如何产生的？ FileProvider的作用是什么，未限制路径又是什么问题？这几者之间存在什么关联，又会带来哪些风险？二、FileProvider ...

2024-05-16

322

资源下载

更多资源

腾讯云软件源

为解决软件依赖安装时官方源访问速度慢的问题，腾讯云为一些软件搭建了缓存服务。您可以通过使用腾讯云软件源站来提升依赖包的安装速度。为了方便用户自由搭建服务架构，目前腾讯云软件源站支持公网访问和内网访问。

Nacos

Nacos /nɑ:kəʊs/ 是 Dynamic Naming and Configuration Service 的首字母简称，一个易于构建 AI Agent 应用的动态服务发现、配置管理和AI智能体管理平台。Nacos 致力于帮助您发现、配置和管理微服务及AI智能体应用。Nacos 提供了一组简单易用的特性集，帮助您快速实现动态服务发现、服务配置、服务元数据、流量管理。Nacos 帮助您更敏捷和容易地构建、交付和管理微服务平台。

Rocky Linux

Rocky Linux（中文名：洛基）是由Gregory Kurtzer于2020年12月发起的企业级Linux发行版，作为CentOS稳定版停止维护后与RHEL（Red Hat Enterprise Linux）完全兼容的开源替代方案，由社区拥有并管理，支持x86_64、aarch64等架构。其通过重新编译RHEL源代码提供长期稳定性，采用模块化包装和SELinux安全架构，默认包含GNOME桌面环境及XFS文件系统，支持十年生命周期更新。

Sublime Text

Sublime Text具有漂亮的用户界面和强大的功能，例如代码缩略图，Python的插件，代码段等。还可自定义键绑定，菜单和工具栏。Sublime Text 的主要功能包括：拼写检查，书签，完整的 Python API ， Goto 功能，即时项目切换，多选择，多窗口等等。Sublime Text 是一个跨平台的编辑器，同时支持Windows、Linux、Mac OS X等操作系统。