Deezer: PyPi con 100.000 installazioni ha piratato musica per anni

Un pacchetto PyPi dannoso denominato "automslc" è stato scaricato oltre 100.000 volte dal Python Package Index dal 2019. Tale pacchetto ha abusato di credenziali hard-coded per piratare musica dal servizio di streaming Deezer. Quest’ultimo è un servizio di streaming musicale disponibile in 180 paesi che offre accesso a oltre 90 milioni di brani, playlist e podcast. Viene offerto tramite un livello gratuito supportato da pubblicità o abbonamenti a pagamento che supportano una qualità audio superiore e l'ascolto offline. Il pacchetto dannoso è stato individuato dalla società di sicurezza Socket. Quest’ultima ha scoperto che pirata la musica codificando le credenziali Deezer per scaricare contenuti multimediali e recuperare metadati dalla piattaforma.

Gli strumenti di pirateria non sono comunemente considerati malware. Tuttavia, automslc utilizza l'infrastruttura di comando e controllo (C2) per il controllo centralizzato, cooptando potenzialmente utenti ignari in una rete distribuita. Inoltre, lo strumento potrebbe essere facilmente riutilizzato per altre attività dannose, quindi i suoi utenti sono costantemente esposti a rischi. Al momento sembra che automslc sia ancora disponibile per il download da PyPI.

Deezer: i dettagli pacchetto PyPi dannoso

Il pacchetto dannoso contiene credenziali dell'account Deezer hardcoded per accedere al servizio o utilizza quelle dell'utente per creare una sessione autenticata con l'API del servizio. Una volta effettuato l'accesso, richiede metadati di traccia ed estrae token di decrittazione interni, in particolare 'MD5_ORIGIN', che Deezer utilizza per la generazione di URL. Successivamente, lo script utilizza chiamate API interne per richiedere URL di streaming completi e recuperare l'intero file audio, bypassando l'anteprima di 30 secondi che Deezer consente al pubblico di accedere. I file audio scaricati vengono archiviati localmente sul dispositivo dell'utente in un formato di alta qualità, consentendo l'ascolto e la distribuzione offline. Ciò viola sia i termini di servizio di Deezer sia le leggi sul copyright, mettendo a rischio gli utenti senza che ne siano a conoscenza.

Il pacchetto automslc può richiedere e scaricare ripetutamente tracce senza restrizioni, consentendo di fatto una pirateria su larga scala. Per quanto riguarda gli hacker, Socket ha identificato gli alias "hoabt2" e "Thanh Hoa" su account e repository GitHub, ma le loro identità sono sconosciute. Gli utenti che usano automslc come strumento autonomo o come parte di un progetto software dovrebbero sapere che lo strumento consente attività illegali. L'operazione orientata al C2 suggerisce che l'attore della minaccia sta monitorando e coordinando attivamente l'attività di pirateria piuttosto che fornire semplicemente uno strumento di pirateria passiva. Ciò aumenta sensibilmente il rischio di introdurre altri comportamenti dannosi negli aggiornamenti futuri.