В PyPi обнаружили необычный вредоносный пакет automslc, который был загружен более 100 000 раз с 2019 года. С помощью жестко закодированных учетных данных automslc позволял выкачивать музыку из стримингового сервиса Deezer.
Deezer — музыкальный стриминговый сервис, доступный в 180 странах мира, который предлагает своим пользователям доступ более чем к 90 млн треков, плейлистов и подкастов. Сервис имеет как бесплатную версию с рекламой, так и платную подписку, которая обеспечивает улучшенное качество звука и возможность прослушивания треков в автономном режиме.
Специалисты компании Socket обнаружили в PyPi пиратский пакет automslc, в котором жестко закодированы учетные данные для Deezer, используемые для загрузки медиафайлов и скапинга метаданных с платформы.
Хотя пиратские инструменты не принято рассматривать как вредоносное ПО, automslc использует C&C-инфраструктуру для централизованного управления и потенциально может вовлечь своих пользователей в распределенную сеть. Кроме того, исследователи подчеркивают, что инструмент можно легко перепрофилировать для других вредоносных действий, а значит, его пользователи постоянно подвергаются риску.
Пакет использует жестко закодированные учетные данные от аккаунта Deezer для входа в сервис или может использовать предоставленные пользователем данные для создания аутентифицированной сессии с API сервиса.
После входа в систему automslc запрашивает метаданные трека и извлекает внутренние токены расшифровки, в частности MD5_ORIGIN, который Deezer использует для генерации URL-адресов.
Далее скрипт использует внутренние вызовы API для запроса полноформатных стриминговых URL и извлечения всего аудиофайла, минуя 30-секундное превью, которое Deezer предоставляет для публичного доступа.
Загруженные файлы сохраняются на устройстве пользователя, что позволяет прослушивать и распространять их в автономном режиме. Разумеется, это нарушает условия предоставления услуг Deezer и законы об авторском праве.
При этом исследователи полагают, что создатель пакета, известный под никами hoabt2 и Thanh Hoa, активно отслеживает и координирует пиратскую деятельность, а не просто предоставляет пассивный инструмент для пиратства.
В настоящее время automslc все еще доступен для загрузки через PyPI.
