Paketmanager npm: Zur Abwechslung kein Schadcode, sondern Videos eingeschleust
Warum zahlreiche Packages in dem JavaScript Paketmanager kurze Clips aus Filmen enthielten, ist unklar. Legal dĂĽrfte es nicht sein.
Das DevSec-Ops-Unternehmen Sonatype ist auf einen ungewöhnlichen Fund im JavaScript-Paketmanager npm gestoßen: In 748 Paketen fanden sich Clips aus Filmen.
Die Motivation hinter der Aktion ist unklar. Offenbar hat der User, der sich auf npm wlwz nennt, Filme in mehrere Teile aufgeteilt und als einzelne Pakete auf npm hochgeladen.
Filme im Feinschnitt
Die einzelnen Packages haben jeweils eine Größe von etwa 54 MByte und enthalten jeweils zehn .ts-Dateien. Die Endung steht auf dem Paketmanager üblicherweise für Code in der Programmiersprache TypeScript, einem Superset von JavaScript. In diesem Fall handelt es sich aber um Videodateien im Transport-Stream-Format.
Dass die Pakete durchnummeriert sind, und die jeweils enthaltenen Dateien diese Nummerierung fortführen – wlwz-2312-1405 enthält die Dateien 14050.ts bis 14059.ts –, spricht dafür, dass es sich um viele kleine Schnipsel eines längeren Films oder mehrerer Filme handelt.
Untertitel in Mandarin und Open-Source-Lizenz
Warum der User die Pakete abgelegt hat, ist auf Anhieb nicht erkennbar. Um raubkopierte Filme zu verteilen, gibt es deutlich einfachere Wege als einen Open-Source-Paketmanager.
Dass den Paketen auch eine JSON-Datei mit Untertiteln in Mandarin beiliegt, legt die Vermutung nahe, dass der Urheber aus China kommt. Sonatype verweist in dem Zusammenhang auf einen Vorfall von Ende 2022, bei dem chinesische Entwickler auf GitHub und npm Tausende E-Books abgelegt haben. Auf dem Weg wollten sie seinerzeit vermutlich die chinesische Zensur umgehen.
Damals waren die Pakete aufgefallen, weil sie keine Lizenzinformationen aufwiesen. Die nun auf npm abgelegten Videopakete wiederholen den Lapsus nicht: Die Pakete sind mit der äußerst freigiebigen Open-Source-Lizenz ISC gekennzeichnet. Dass die Lizenz vom Urheber der Filme stammt und auch für diese gilt, ist zumindest fraglich.
Sonatype stuft die Pakete zwar als "malicious" ein. Anders als andere Pakete mit der Kennzeichnung enthalten sie aber wohl keinen Schadcode, sondern lediglich die Videodateien.
Auf npm fanden sich beim Schreiben dieser Meldung noch 627 Pakete, die der User wlwz vor zwei Monaten dort abgelegt hat.
Weitere Details zu dem Vorfall lassen sich dem Sonatype-Blog entnehmen.
(rme)