Pesquisadores de cibersegurança detectaram uma biblioteca Python maliciosa no repositório Python Package Index (PyPI) que facilita o download não autorizado de músicas do serviço de streaming Deezer.
O pacote em questão é o automslc, que já foi baixado mais de 104.000 vezes até hoje.
Publicado pela primeira vez em maio de 2019, ainda está disponível no PyPI no momento da redação deste texto.
"Embora o automslc, que foi baixado mais de 100.000 vezes, alegue oferecer automação musical e recuperação de metadados, ele secretamente contorna as restrições de acesso do Deezer incorporando credenciais codificadas e se comunicando com um servidor de comando e controle (C2) externo", disse o pesquisador de segurança da Socket, Kirill Boychenko, em um relatório publicado hoje.
Especificamente, o pacote foi projetado para fazer login na plataforma francesa de streaming de música através de credenciais fornecidas pelo usuário e codificadas, coletar metadados relacionados à faixa e fazer o download de arquivos de áudio completos, violando os termos da API do Deezer.
O pacote também se comunica periodicamente com um servidor remoto localizado em "54.39.49[.]17:8031" para fornecer atualizações sobre o status do download, dando assim ao ator de ameaças um controle centralizado sobre a operação de pirataria de música coordenada.
Em outras palavras, o automslc efetivamente transforma os sistemas dos usuários do pacote em uma rede ilícita para facilitar downloads massivos de música de maneira não autorizada.
O endereço IP está associado a um domínio denominado "automusic[.]win", que, segundo informações, é utilizado pelo ator de ameaça para supervisionar a operação de download distribuído.
"Os termos da API do Deezer proíbem o armazenamento local ou offline de conteúdo de áudio completo, mas, ao fazer o download e descriptografar faixas inteiras, o automslc contorna essa limitação, colocando potencialmente os usuários em risco de repercussões legais", disse Boychenko.
A divulgação ocorre enquanto a empresa de segurança da cadeia de suprimentos de software detalhou um pacote npm malicioso chamado @ton-wallet/create que foi encontrado roubando frases mnemônicas de usuários e desenvolvedores desavisados no ecossistema TON, enquanto se passa pelo pacote legítimo @ton/ton.
O pacote, publicado pela primeira vez no registro npm em agosto de 2024, já alcançou 584 downloads até o momento.
Ainda está disponível para download.
A funcionalidade maliciosa incorporada à biblioteca é capaz de extrair a variável de ambiente process.env.MNEMONIC, dando assim aos atores de ameaças acesso completo a uma carteira de criptomoedas e, potencialmente, esvaziando os ativos digitais da vítima.
As informações são transmitidas para um bot do Telegram controlado pelo atacante.
"Este ataque representa riscos severos para a segurança da cadeia de suprimentos, visando desenvolvedores e usuários que integram carteiras TON em suas aplicações", disse a Socket.
Auditorias regulares de dependências e ferramentas de varredura automatizadas devem ser empregadas para detectar comportamentos anômalos ou maliciosos em pacotes de terceiros antes que sejam integrados em ambientes de produção.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...