Peneliti cybersecurity telah menandai perpustakaan Python yang berbahaya di repositori Python Package Index (PYPI) yang memfasilitasi unduhan musik yang tidak sah dari layanan streaming musik Deezer.
Paket yang dimaksud adalah Automslc, yang telah diunduh lebih dari 104.000 kali hingga saat ini. Pertama kali diterbitkan pada Mei 2019, tetap tersedia di PYPI pada saat penulisan.
“Meskipun Automslc, yang telah diunduh lebih dari 100.000 kali, dimaksudkan untuk menawarkan otomatisasi musik dan pengambilan metadata, secara diam-diam memotong pembatasan akses Deezer dengan menyematkan kredensial hardcoded dan berkomunikasi dengan peneliti yang diterbitkan oleh Command-and-Control External.
Secara khusus, paket ini dirancang untuk masuk ke platform streaming musik Prancis melalui kredensial yang disediakan pengguna dan berkode keras, mengumpulkan metadata terkait trek, dan mengunduh file audio lengkap yang melanggar istilah API Deezer.
Paket ini juga berkomunikasi secara berkala dengan server jarak jauh yang terletak di “54.39.49[.]17: 8031 ”Untuk memberikan pembaruan tentang status unduhan, sehingga memberikan kontrol ancaman terkendali atas operasi pembajakan musik yang terkoordinasi.
Dengan kata lain, Automslc secara efektif mengubah sistem pengguna paket menjadi jaringan ilegal untuk memfasilitasi unduhan musik curah secara tidak sah. Alamat IP dikaitkan dengan domain bernama “Automusic[.]Win, “yang dikatakan digunakan oleh aktor ancaman untuk mengawasi operasi pengunduhan yang didistribusikan.
“Ketentuan API Deezer melarang penyimpanan lokal atau offline dari konten audio lengkap, tetapi dengan mengunduh dan mendekripsi seluruh trek, Automslc mem -bypass keterbatasan ini, berpotensi menempatkan pengguna dalam risiko dampak hukum,” kata Boychenko.
Pengungkapan ini datang ketika perusahaan keamanan rantai pasokan perangkat lunak merinci paket NPM nakal yang disebut @ton-wallet/create yang telah ditemukan mencuri frasa mnemonik dari pengguna dan pengembang yang tidak curiga di ekosistem ton, sambil menyamar sebagai paket @ton/ton yang sah.
Paket, yang pertama kali diterbitkan ke NPM Registry pada Agustus 2024, telah menarik 584 unduhan hingga saat ini. Tetap tersedia untuk diunduh.
Fungsionalitas jahat yang tertanam ke dalam perpustakaan mampu mengekstraksi proses. Informasi ini dikirim ke bot telegram yang dikendalikan oleh penyerang.
“Serangan ini menimbulkan risiko keamanan rantai pasokan yang parah, menargetkan pengembang dan pengguna yang mengintegrasikan dompet ton ke dalam aplikasi mereka,” kata Socket. “Audit ketergantungan reguler dan alat pemindaian otomatis harus digunakan untuk mendeteksi perilaku anomali atau jahat dalam paket pihak ketiga sebelum mereka diintegrasikan ke dalam lingkungan produksi.”
