Npm 充斥着 Tea 协议垃圾包,占比高达 70%


Phylum 研究团队发现,npm 中与 Tea 协议相关的垃圾包激增。Tea 协议是一项去中心化计划,由 Homebrew 创始人 Max Howell 发明,旨在改善开源商业模式,承诺以加密货币补偿软件开发者对开源的贡献。

但研究人员认为,npm 上的这些包除了利用协议人为夸大软件开发者的贡献外,几乎都没有任何可取之处。

在过去的六个月中,npm 上共发布了超过 890,000 个新软件包(不是现有软件包的更新),其中有 613,000 到 667,000 个(约占 70%)是与 Tea 协议相关的垃圾包。换句话说,在过去六个月内发布到 npm 的所有新软件包中,大约每七个软件包中就有五个是 Tea 垃圾。

事实上,这并非 Tea 协议第一次引发问题。今年早些时候就有报道称,GitHub 遭受了一些投机分子的多个毫无意义的拉取请求,这些投机分子假扮贡献者,试图通过 Tea 加密货币代币套现。

研究人员表示,“这种污染是一种恶意行为,可能会演变成多种危险的途径”。首先,垃圾邮件包带有垃圾邮件依赖项,因此如果开发人员安装了一个,他们会得到更多垃圾邮件。其次,AI 模型可能会在这些包上进行训练,从而获得垃圾输入。第三,Phylum 声称这些包会产生混淆,从而为降低恶意软件的可察觉性。

今年 2 月,Tea 项目发布了防止滥用的措施,包括验证流程,但持续不断的垃圾邮件表明这些措施还不够充分。RubyGems 团队的 Maciej Mensfeld 曾在 4 月份针对影响软件源的 Tea 垃圾邮件激增发表了评论,将其描述为 "企图转移我们的资源、破坏我们社区内部信任与合作的利用行为"。

Phylum 研究人员承认 Tea 协议有着一个好的初衷。但他们也坚持认为,该协议产生了一种反常的激励机制,也就是说,它激励了错误的行为。


相關推薦

2022-04-28

 2020 年 3 月时,绝大多数应用程序仍在使用 Java 8,占比高达 84.48%。不过这一情况在过去的两年中已经有所转变,之前的 JVM Ecosystem Report 2021 就曾指出,开发人员正从 Java 8 向 Java 11 转移。New Relic 此次发布的报告也再次验

2023-04-12

中介绍: 针对开源生态系统的恶意活动正在导致大量垃圾邮件、SEO 中毒和恶意软件感染。 这些攻击造成了拒绝服务 (DoS),使 NPM 不稳定,甚至出现零星的‘服务不可用’错误。 通常,单月在 NPM 上发布的包版本数量约为

2023-11-30

体而言,开发者最常使用的 Java 版本是 Java 8,占比高达 50%;其次分别是 Java 17 (45%)、Java 11(38%) 以及 Java 20 (11%)。 “很遗憾看到这么多人仍在使用 Java 8(及更旧的版本)。我想知道是什么阻碍了他们升级到更

2023-01-21

Java、PHP、C 和 C++。但当考虑到相对用户数量时,Perl 的占比高达 96%,其次是 Visual Basic 77%,Delphi 60% 和 C 51%。 居家办公仍然是大多数开发者的选择,76% 的开发者选择主要居家办公。 50% 的开发者参与远程协作编程。 69% 的在

2023-03-21

入、研发效能、开源协同等方面的重要数据。 研发人员占比达 74%,Go 语言蝉联腾讯最热编程语言 《报告》显示,2022年腾讯内部研发人员占比达到74%,意味着平均每四个腾讯员工中,就有三个从事研发工作。去年一年,腾讯新

2023-04-30

的 Java 应用中有 70% 是从容器中进行的。 Garbage-First (G1) 垃圾收集器仍然是使用 Java 11 或更高版本的用户的最爱,有 65% 的使用率。其他在 Java 8 之后出现的实验性垃圾收集器(ZGC 和 Shenandoah)在生产系统中的使用仍然很少。两

2022-09-02

制一个单词,然而当你打开剪贴板的时候,就会发现里面充斥着各种各样的内容。 开发者 Jeff Johnson 对该 Bug 进行了详细的分析,并制作了 Bug 的演示网站。使用 Chrome 104 及以上版本访问 https://webplatform.news/,你的系统剪贴板

2023-08-11

,新增支持一个平台成本反而下降,可复用跨平台代码占比高达75%,并且有较好的性能体验。真正地做到了“代码一次开发,三个平台部署”。 04 ArkUI-X 开源社区 ArkUI-X是由OpenHarmony TSC-跨平台应用开发框架TSG所孵化的开源项

2024-07-16

柱或特色产业,近3年产值均在40亿元以上,中小企业产值占集群总产值高于70%,主导产业占集群总产值比例高于70%,产值年均增速高于10%。

2024-05-28

空间利用率均为70%左右。在上述存储数据中,数据云存储占比超过40%。 在算力方面,至2023年底,全国2200多个算力中心的算力规模同比增长约为30%。大模型训练算力需求高涨,科学、政务、金融、工业等行业算力需求增加。 报

2022-06-01

izers )、代码模糊器,以及一个名为  Oilpan 的 C++ 垃圾回收器。Oilpan、MiraclePtr 和基于智能指针的解决方案需要大量采用应用程序代码。 此外,谷歌还探索了另一种方法:内存隔离(memory quarantine)。基本思路是将 explicit

2022-07-09

TEA 是一个具有图形化用户界面的文本编辑器,名称是从英文 Text Editor of the Atomic Era(意为“原子时代的文字编辑器”)的首字母缩略而衍生。它是为低资源消耗、广泛的功能和适应性而设计的,可用于 Qt 6、5 或 4.6+ 支持的所有

2024-05-30

展的机会。公司在技术创新和市场拓展方面的成就,预示着其未来在A股市场的表现值得期待。 七、郑重声明 此内容旨在传播更多信息,与本站立场无关,不构成投资建议。据此操作,风险自担。 延伸阅读:达梦数据上交所

2023-11-30

资同比增长9.6%,比同期工业投资增速高0.7个百分点,但比高技术制造业投资增速低1.7个百分点。 五、地区间营收分化明显 1—10月份,规模以上电子信息制造业东部地区实现营业收入82003亿元,同比下降3%,较前三季度降幅收