100 ezerszer letöltött PyPI csomag évekig kalózkodott a Deezer zenéivel

Segítséget kaptál? Szívesen töltöd itt az idődet? Visszajársz hozzánk? Támogasd a munkákat: Ko-fi és Paypal!

kami911 képe
Beküldte kami911 -

Egy "automslc" nevű rosszindulatú PyPI csomag több mint 100 000 letöltést ért el 2019 óta, miközben hardcode-olt hitelesítő adatokkal visszaélt a Deezer zenei streaming szolgáltatásával. A biztonsági kutatók szerint a csomag éveken át lehetővé tette a zeneletöltést a platformról, miközben a felhasználók tudta nélkül veszélybe sodorhatta őket.

Hogyan működött a kalózkodás?

A Deezer egy népszerű zenei streaming szolgáltatás, amely 180 országban érhető el, több mint 90 millió dal, lejátszási lista és podcast kínálatával. Az automslc csomag a következő módon segítette a jogosulatlan letöltést:

  1. Hardcode-olt Deezer fiókokat használt, vagy a felhasználó által megadott hitelesítő adatokkal jelentkezett be.
  2. Lekérte a zeneszámok metaadatait, és belső titkosítási tokeneket szerzett, amelyekkel teljes hosszúságú URL-eket generált.
  3. A hivatalos API-t megkerülve letöltötte a dalokat, elkerülve a Deezer ingyenes verziójában lévő 30 másodperces korlátozást.
  4. A dalokat kiváló minőségben mentette a felhasználók eszközeire, lehetővé téve az offline hallgatást és terjesztést.

Nemcsak kalózkodás, hanem komoly biztonsági kockázat is

Bár a legtöbb illegális letöltőeszközt nem tekintik kifejezetten kártékony szoftvernek, az automslc csomag egy parancs- és vezérlő (C2) infrastruktúrát használt. Ez azt jelenti, hogy:

  • A felhasználók tudta nélkül egy központilag irányított hálózat részeivé válhattak.
  • A fejlesztő távolról irányíthatta a letöltési folyamatokat, és akár más rosszindulatú tevékenységeket is végrehajthatott volna.
  • A csomag könnyen módosítható lett volna további kártékony funkciók hozzáadásával, ezzel tovább növelve a biztonsági kockázatokat.

A Socket nevű biztonsági cég vizsgálata szerint a csomag mögött egy ismeretlen személy állhat, aki "hoabt2" vagy "Thanh Hoa" néven működhetett különböző online fiókokon és GitHub tárhelyeken.

Jelenleg is elérhető a PyPI-n

Meglepő módon az automslc csomag még mindig letölthető a PyPI-ról, annak ellenére, hogy egyértelműen sérti a Deezer felhasználási feltételeit és a szerzői jogi törvényeket.

Ha bárki használta ezt az eszközt – akár önállóan, akár egy fejlesztési projekt részeként –, komoly jogi következményekkel nézhet szembe. Ráadásul a C2-alapú működés miatt bármikor további rosszindulatú funkciók kerülhettek volna a csomagba, így az adatbiztonságot és a rendszerek épségét is veszélyeztethette.

A felhasználóknak azonnal el kell távolítaniuk az automslc csomagot, és kerülniük kell az ilyen forrásokból származó szoftvereket, hogy elkerüljék mind az illegális tevékenységekből, mind a potenciális biztonsági fenyegetésekből adódó problémákat.