Pacote Python MALICIOSO
26 de Fevereiro de 2025

Pesquisadores de cibersegurança detectaram uma biblioteca Python maliciosa no repositório Python Package Index (PyPI) que facilita o download não autorizado de músicas do serviço de streaming Deezer.

O pacote em questão é o automslc, que já foi baixado mais de 104.000 vezes até hoje.

Publicado pela primeira vez em maio de 2019, ainda está disponível no PyPI no momento da redação deste texto.

"Embora o automslc, que foi baixado mais de 100.000 vezes, alegue oferecer automação musical e recuperação de metadados, ele secretamente contorna as restrições de acesso do Deezer incorporando credenciais codificadas e se comunicando com um servidor de comando e controle (C2) externo", disse o pesquisador de segurança da Socket, Kirill Boychenko, em um relatório publicado hoje.

Especificamente, o pacote foi projetado para fazer login na plataforma francesa de streaming de música através de credenciais fornecidas pelo usuário e codificadas, coletar metadados relacionados à faixa e fazer o download de arquivos de áudio completos, violando os termos da API do Deezer.

O pacote também se comunica periodicamente com um servidor remoto localizado em "54.39.49[.]17:8031" para fornecer atualizações sobre o status do download, dando assim ao ator de ameaças um controle centralizado sobre a operação de pirataria de música coordenada.

Em outras palavras, o automslc efetivamente transforma os sistemas dos usuários do pacote em uma rede ilícita para facilitar downloads massivos de música de maneira não autorizada.

O endereço IP está associado a um domínio denominado "automusic[.]win", que, segundo informações, é utilizado pelo ator de ameaça para supervisionar a operação de download distribuído.

"Os termos da API do Deezer proíbem o armazenamento local ou offline de conteúdo de áudio completo, mas, ao fazer o download e descriptografar faixas inteiras, o automslc contorna essa limitação, colocando potencialmente os usuários em risco de repercussões legais", disse Boychenko.

A divulgação ocorre enquanto a empresa de segurança da cadeia de suprimentos de software detalhou um pacote npm malicioso chamado @ton-wallet/create que foi encontrado roubando frases mnemônicas de usuários e desenvolvedores desavisados no ecossistema TON, enquanto se passa pelo pacote legítimo @ton/ton.

O pacote, publicado pela primeira vez no registro npm em agosto de 2024, já alcançou 584 downloads até o momento.

Ainda está disponível para download.

A funcionalidade maliciosa incorporada à biblioteca é capaz de extrair a variável de ambiente process.env.MNEMONIC, dando assim aos atores de ameaças acesso completo a uma carteira de criptomoedas e, potencialmente, esvaziando os ativos digitais da vítima.

As informações são transmitidas para um bot do Telegram controlado pelo atacante.

"Este ataque representa riscos severos para a segurança da cadeia de suprimentos, visando desenvolvedores e usuários que integram carteiras TON em suas aplicações", disse a Socket.

Auditorias regulares de dependências e ferramentas de varredura automatizadas devem ser empregadas para detectar comportamentos anômalos ou maliciosos em pacotes de terceiros antes que sejam integrados em ambientes de produção.

Publicidade

Traçamos um caminho para você ir do zero ao avançado em hacking

Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...