
Los investigadores de ciberseguridad han marcado una biblioteca de Python maliciosa en el repositorio de Python Package Index (PYPI) que facilita las descargas de música no autorizadas del servicio de transmisión de música Deezer.
El paquete en cuestión es AUTOMSLC, que se ha descargado más de 104,000 veces hasta la fecha. Publicado por primera vez en mayo de 2019, permanece disponible sobre Pypi a partir de la escritura.
“Aunque AUTOMSLC, que ha sido descargado Más de 100,000 veces, pretende ofrecer automatización de música y recuperación de metadatos, evita las restricciones de acceso de Deezer al integrar las credenciales codificadas y la comunicación con un servidor externo de comando y control (C2) “, el investigador de seguridad de Socket Kirill Boychenko dicho en un informe publicado hoy.
Específicamente, el paquete está diseñado para iniciar sesión en la plataforma de transmisión de música francesa a través de credenciales con suministro de usuarios y codificados, recopilar metadatos relacionados con la pista y descargar archivos de audio completos en violación de los términos API de Deezer.
El paquete también se comunica periódicamente con un servidor remoto ubicado en “54.39.49[.]17: 8031 ”para proporcionar actualizaciones sobre el estado de descarga, lo que le da al control de amenaza del actor el control centralizado sobre la operación coordinada de piratería musical.
Dicho de manera diferente, AUTOMSLC convierte efectivamente los sistemas de los usuarios del paquete en una red ilícita para facilitar las descargas de música a granel de manera no autorizada. La dirección IP está asociada con un dominio llamado “Automusic[.]Gane “, que se dice que el actor de amenazas utiliza para supervisar la operación de descarga distribuida.
“Los términos API de Deezer prohíben el almacenamiento local o fuera de línea de contenido de audio completo, pero al descargar y descifrar pistas completas, AutomSLC omite esta limitación, lo que potencialmente pone a los usuarios en riesgo de repercusiones legales”, dijo Boychenko.
La divulgación se produce cuando la compañía de seguridad de la cadena de suministro de software detalló un paquete Rogue NPM llamado @ton-wallet/create que se ha encontrado robando frases mnemónicas de usuarios y desarrolladores desprevenidos en el ecosistema TON, mientras se hace pasar por el paquete legítimo de @ton/ton.
El paquete, Primero publicado al registro de NPM en agosto de 2024, ha atraído 584 descargas hasta la fecha. Permanece disponible para descargar.
La funcionalidad maliciosa integrada en la biblioteca es capaz de extraer el proceso. La información se transmite a un bot de telegrama controlado por el atacante.
“Este ataque plantea graves riesgos de seguridad de la cadena de suministro, dirigida a desarrolladores y usuarios que integran billeteras TON en sus aplicaciones”, Socket dicho. “Se deben emplear auditorías de dependencia regulares y herramientas de escaneo automatizadas para detectar comportamientos anómalos o maliciosos en paquetes de terceros antes de que se integren en entornos de producción”.







