Npm 充斥着 Tea 协议垃圾包，占比高达 70%

Phylum 研究团队发现，npm 中与 Tea 协议相关的垃圾包激增。Tea 协议是一项去中心化计划，由 Homebrew 创始人 Max Howell 发明，旨在改善开源商业模式，承诺以加密货币补偿软件开发者对开源的贡献。

但研究人员认为，npm 上的这些包除了利用协议人为夸大软件开发者的贡献外，几乎都没有任何可取之处。

在过去的六个月中，npm 上共发布了超过 890,000 个新软件包（不是现有软件包的更新），其中有 613,000 到 667,000 个（约占 70%）是与 Tea 协议相关的垃圾包。换句话说，在过去六个月内发布到 npm 的所有新软件包中，大约每七个软件包中就有五个是 Tea 垃圾。

事实上，这并非 Tea 协议第一次引发问题。今年早些时候就有报道称，GitHub 遭受了一些投机分子的多个毫无意义的拉取请求，这些投机分子假扮贡献者，试图通过 Tea 加密货币代币套现。

研究人员表示，“这种污染是一种恶意行为，可能会演变成多种危险的途径”。首先，垃圾邮件包带有垃圾邮件依赖项，因此如果开发人员安装了一个，他们会得到更多垃圾邮件。其次，AI 模型可能会在这些包上进行训练，从而获得垃圾输入。第三，Phylum 声称这些包会产生混淆，从而为降低恶意软件的可察觉性。

今年 2 月，Tea 项目发布了防止滥用的措施，包括验证流程，但持续不断的垃圾邮件表明这些措施还不够充分。RubyGems 团队的 Maciej Mensfeld 曾在 4 月份针对影响软件源的 Tea 垃圾邮件激增发表了评论，将其描述为 "企图转移我们的资源、破坏我们社区内部信任与合作的利用行为"。

Phylum 研究人员承认 Tea 协议有着一个好的初衷。但他们也坚持认为，该协议产生了一种反常的激励机制，也就是说，它激励了错误的行为。