Исследователи Socket обнаружили вредоносный PyPI-пакет с названием automslc, который использует API Deezer для координирования несанкционированных загрузок музыки.
Описание
Этот пакет, который уже был загружен более 100 000 раз, представляет собой реализацию автоматизации музыки и поиска метаданных, но в тоже время обходит ограничения доступа Deezer за счет внедрения жестко закодированных учетных данных и взаимодействия с внешним командно-контрольным (C2) сервером.
Пакет позволяет пользователям входить в Deezer, собирать метаданные треков, запрашивать полные URL-адреса вещания и загружать полные аудиофайлы. Однако все это является нарушением условий Deezer API. В настоящее время пакет по-прежнему доступен на PyPI, но исследователи уже подали петицию, требующую его удаления.
Функциональность вредоносного пакета встроена в определенные функции. Например, функция "crawl_auto" выполняет вход в Deezer с помощью предоставленных учетных данных, получает необработанные треки с удаленного сервера и выполняет загрузку последних. Затем эти данные обновляются на удаленном сервере, что позволяет злоумышленнику контролировать загрузку и координировать операцию. Другая функция, "get_info", получает информацию о треке из API Deezer и загружает полный трек.
Deezer - онлайн-сервис потокового воспроизведения музыки, предоставляющий доступ к более чем 90 миллионам лицензионных треков, плейлистов и подкастов. Однако данное исследование показывает, что вредоносный пакет automslc злоупотребляет функциональностью Deezer и проводит координированную операцию по загрузке музыки, обходя ограничения доступа и нарушая условия API. Учетные данные, полученные через этот пакет, позволяют злоумышленникам получать доступ к метаданным треков и осуществлять несанкционированную загрузку полных треков. В связи с этим исследователи призывают к удалению этого вредоносного пакета.
Indicators of Compromise
IPv4
- 54.39.49.17
Domains
- automusic.win
URLs
- https://github.com/vtandroid