2019’dan beri Python Paket Endeksinden 100.000’den fazla kez indirildi ve Deezer akış hizmetinden korsan müziğe sert kodlanmış kimlik bilgilerini kötüye kullandı.
Deezer, 180 ülkede 90 milyondan fazla parça, çalma listesi ve podcast’e erişim sunan bir müzik akışı hizmetidir. Daha yüksek ses kalitesi ve çevrimdışı dinlemeyi destekleyen reklam destekli ücretsiz bir katman veya ücretli abonelikler aracılığıyla sunulmaktadır.
Güvenlik firması Socket kötü amaçlı paketi keşfetti ve medya indirmek ve meta verileri platformdan kazmak için Deezer kimlik bilgilerini sertleştirerek müziği korsan olduğunu buldu.
Korsanlık araçları yaygın olarak kötü amaçlı yazılım olarak görülmemiş olsa da, AutomSLC merkezi kontrol için komut ve kontrol (C2) altyapısı kullanır ve potansiyel olarak şüpheli kullanıcıları dağıtılmış bir ağa seçer.
Ayrıca, araç diğer kötü amaçlı faaliyetler için kolayca yeniden tasarlanabilir, böylece kullanıcıları sürekli risklere maruz kalır.
Bunu yazarken, AutomSLC hala Pypi’den indirilebilir.
Korsan deezer müziği
Kötü niyetli paket, hizmette oturum açmak için sabit kodlu Deezer hesap kimlik bilgileri içerir veya kullanıcı tarafından sağlananları hizmetin API’sı ile kimlik doğrulamalı bir oturum oluşturmak için kullanır.
Giriş yaptıktan sonra, meta verileri izler ve Deezer’in URL üretimi için kullandığı dahili şifre çözme belirteçleri, özellikle ‘MD5_ORIGIN’ çıkarır.
Ardından, komut dosyası tam uzunlukta akış URL’leri talep etmek ve tüm ses dosyasını almak için dahili API çağrıları kullanır ve Deezer 30 saniyelik önizleme önizleme halka açık erişim sağlar.
İndirilen ses dosyaları, kullanıcının cihazında yerel olarak yüksek kaliteli bir formatta saklanır ve çevrimdışı dinleme ve dağıtım sağlar.
Bu, hem Deezer’in hizmet şartlarını hem de telif hakkı yasalarını ihlal ederek kullanıcıları bilgileri olmadan riske atıyor.
Otomatik paketi, kısıtlama olmadan tekrar tekrar parça talep edebilir ve indirebilir ve etkili bir şekilde kitle ölçekli korsanlığa izin verebilir.
Paketin arkasında kim olduğuna gelince, Socket çeşitli hesaplarda ve GitHub depolarında “Hoabt2” ve “Thanh Hoa” adlı takma adlarını tanımladı, ancak kimlikleri bilinmiyor.
AutomSLC’yi bağımsız bir araç olarak veya bir yazılım projesinin bir parçası olarak kullanıyorsanız, aracın yasadışı faaliyetlere izin verdiğini ve sizi belaya sokabileceğini bilin.
C2 odaklı operasyon, tehdit oyuncusunun, gelecekteki güncellemelerde daha fazla kötü amaçlı davranışlar getirme riskini artıran pasif bir korsanlık aracı sağlamak yerine korsanlık faaliyetini aktif olarak izlediğini ve koordine ettiğini göstermektedir.