“现在，50%以上的新 npm 软件包是 SEO 垃圾邮件”

审计公司 Sandworm 近日发文称，一周内，Sandworm 扫描的约 32 万个新 npm 包或版本中，至少有约 18.5 万个被标记为 SEO 垃圾邮件。也就是说，一半以上的新 npm 软件包都是空包，只有一个 README 文件，其中包含了指向各种恶意网站的链接。所有已识别的垃圾邮件包目前都在npmjs.com上。

2023 年 3 月 22 日至 29 日期间，攻击者概况

根据 Sandworm 的检测，大多数垃圾邮件都来自一个似乎针对讲俄语的人的 Telegram 频道，包的名字会与各种敏感话题的搜索相匹配，比如乌克兰战争或俄罗斯天然气工业股份公司(Gazprom)的投资决策。然而，包的描述如下:

永远没有财务之忧：一种新的赚钱方法可以让你足不出户就赚几百万。

 这些链接指向一个恶意的、拥有超 7000 名成员的 Telegram 频道。在 Sandworm 分析的包中，包含这个相同 Telegram URL 的有 9.3 万个包。

第二大 SEO 垃圾邮件来源是更传统的在线免费书籍和视频广告。网站要求用户执行一系列任务以获得（不存在的）下载链接，基本方式是观看广告并与之互动。这些垃圾邮件包在 URL 中使用的域变化很大，因此更难检测。

参考链接：

https://blog.sandworm.dev/one-in-two-new-npm-packages-is-seo-spam-right-now