/https://www.html.it/app/uploads/2025/03/pypi.jpg "Scoperto su PyPI un pacchetto malevolo per la pirateria musicale")
Un pacchetto software distribuito sulla piattaforma PyPI ha trasformato i computer degli utenti in strumenti di pirateria musicale, secondo quanto riportato da The Hacker News. Questo pacchetto, denominato automslc, ha sfruttato i sistemi su cui era installato per orchestrare il download non autorizzato di brani dal servizio di streaming Deezer, violando le restrizioni imposte dalla piattaforma.
I ricercatori di sicurezza di Socket.dev hanno rivelato che, sebbene automslc si presentasse come uno strumento di automazione per la gestione musicale e il recupero di metadati, in realtà era progettato per eludere i limiti di accesso di Deezer. Il pacchetto, scaricato più di 100.000 volte prima della sua rimozione, era attivo dal 2019 e ha consentito per anni un accesso improprio ai contenuti della piattaforma.
Il codice di automslc permetteva di interfacciarsi con Deezer e ottenere informazioni dettagliate sulle tracce musicali, compresi i metadati e i collegamenti diretti ai file audio. Grazie a una gestione avanzata delle credenziali, il pacchetto utilizzava sia i dati di accesso forniti dagli utenti sia credenziali preconfigurate per generare sessioni attive con l'API del servizio di streaming. Questo sistema gli consentiva di accedere agli identificativi delle tracce, ai codici di registrazione, ai titoli dei brani e a particolari token crittografici, come MD5_ORIGIN, necessari per costruire gli URL completi dei file audio.
Automslc aggirava queste restrizioni
Inoltre, il pacchetto comunicava costantemente con un server remoto, inviando aggiornamenti sullo stato dei download e trasmettendo informazioni dettagliate sulle tracce scaricate. Questo meccanismo centralizzato permetteva al creatore di automslc di coordinare un’operazione di pirateria su larga scala, rendendo i computer infetti parte di una rete distribuita finalizzata alla sottrazione di contenuti protetti.
Nonostante gli utenti di Deezer paghino un abbonamento per accedere alla musica, il servizio opera su un modello di licenza che non consente il download illimitato né la distribuzione dei contenuti. Automslc aggirava queste restrizioni, permettendo il salvataggio e la possibile ridistribuzione dei brani al di fuori dei limiti previsti dal contratto d’uso.
Dopo essere stato individuato, il pacchetto è stato rimosso da PyPI, ma il suo elevato numero di download dimostra la vastità della sua diffusione e il potenziale impatto sulla sicurezza digitale e sull’industria musicale.
/https://www.html.it/app/uploads/2025/03/WP-Ghost-.jpg)
/https://www.html.it/app/uploads/2025/03/sicurezza-480x300.webp)
/https://www.html.it/app/uploads/2025/03/WA-vulnerabilita.jpg)
/https://www.html.it/app/uploads/2025/03/dot-wa.jpg)