Phylum 研究团队发现,npm 中与 Tea 协议相关的垃圾包激增。Tea 协议是一项去中心化计划,由 Homebrew 创始人 Max Howell 发明,旨在改善开源商业模式,承诺以加密货币补偿软件开发者对开源的贡献。
但研究人员认为,npm 上的这些包除了利用协议人为夸大软件开发者的贡献外,几乎都没有任何可取之处。
在过去的六个月中,npm 上共发布了超过 890,000 个新软件包(不是现有软件包的更新),其中有 613,000 到 667,000 个(约占 70%)是与 Tea 协议相关的垃圾包。换句话说,在过去六个月内发布到 npm 的所有新软件包中,大约每七个软件包中就有五个是 Tea 垃圾。
事实上,这并非 Tea 协议第一次引发问题。今年早些时候就有报道称,GitHub 遭受了一些投机分子的多个毫无意义的拉取请求,这些投机分子假扮贡献者,试图通过 Tea 加密货币代币套现。
研究人员表示,“这种污染是一种恶意行为,可能会演变成多种危险的途径”。首先,垃圾邮件包带有垃圾邮件依赖项,因此如果开发人员安装了一个,他们会得到更多垃圾邮件。其次,AI 模型可能会在这些包上进行训练,从而获得垃圾输入。第三,Phylum 声称这些包会产生混淆,从而为降低恶意软件的可察觉性。
今年 2 月,Tea 项目发布了防止滥用的措施,包括验证流程,但持续不断的垃圾邮件表明这些措施还不够充分。RubyGems 团队的 Maciej Mensfeld 曾在 4 月份针对影响软件源的 Tea 垃圾邮件激增发表了评论,将其描述为 “企图转移我们的资源、破坏我们社区内部信任与合作的利用行为”。
Phylum 研究人员承认 Tea 协议有着一个好的初衷。但他们也坚持认为,该协议产生了一种反常的激励机制,也就是说,它激励了错误的行为。