Siber güvenlik araştırmacıları, Python Paket Dizini (PYPI) deposunda Müzik Streaming Hizmeti Deezer’den yetkisiz müzik indirmelerini kolaylaştıran kötü niyetli bir Python kütüphanesi işaretlediler.
Söz konusu paket, bugüne kadar 104.000’den fazla indirilen AutomSLC’dir. İlk olarak Mayıs 2019’da yayınlanan, Pypi’de yazma olarak mevcuttur.
“100.000’den fazla kez indirilmiş olan AutomSLC, müzik otomasyonu ve meta veri alımını sunmayı iddia etse de, Socket Güvenlik Araştırmacısı harici bir komuta ve kontrol (C2) sunucusu ile iletişim kurarak Deezer’in erişim kısıtlamalarını gizlice atlar.” Kirill Boychenko bugün yayınlanan bir raporda dedi.
Özellikle, paket, kullanıcı tarafından sağlanan ve sabit kodlu kimlik bilgileri aracılığıyla Fransız müzik akışı platformuna giriş yapmak, Track ile ilgili meta verileri toplamak ve Deezer’in API terimlerini ihlal ederek tam ses dosyalarını indirmek için tasarlanmıştır.
Paket ayrıca periyodik olarak “54.39.49’da bulunan uzak bir sunucu ile iletişim kurar.[.]17: 8031 ”İndirme durumu hakkında güncellemeler sağlamak, böylece tehdit oyuncusuna koordineli müzik korsanlığı operasyonu üzerinde merkezi kontrol sağlamak.
Farklı bir şekilde, AutomSLC, paket kullanıcılarının sistemlerini, toplu müzik indirmelerini yetkisiz bir şekilde kolaylaştırmak için yasadışı bir ağa dönüştürür. IP adresi “Otomatik” adlı bir alan adıyla ilişkilidir[.]Win, “Tehdit oyuncusu tarafından dağıtılmış indirme işlemini denetlemek için kullanıldığı söyleniyor.
Boychenko, “Deezer’in API terimleri, tam ses içeriğinin yerel veya çevrimdışı depolanmasını yasaklıyor, ancak tüm parçaları indirip şifreleyerek otomatik, bu sınırlamayı atlayarak kullanıcıları yasal yankılar riskine sokuyor.” Dedi.
Açıklama, yazılım tedarik zinciri güvenlik şirketinin, @ton/ton paketini taklit ederken, ton ekosistemindeki şüphesiz kullanıcılardan ve geliştiricilerden anımsatıcı ifadeleri çalan @ton-wallet/create adlı bir haydut NPM paketini detaylandırması ile birlikte gelir.
İlk olarak Ağustos 2024’te NPM kayıt defterine yayınlanan paket, bugüne kadar 584 indirme çekti. İndirilebilir.
Kütüphaneye gömülü kötü niyetli işlevsellik, işlemi çıkarabilir. Bilgiler saldırgan kontrollü bir telgraf botuna aktarılır.
Socket, “Bu saldırı ciddi tedarik zinciri güvenlik riskleri oluşturuyor, geliştiricileri ve ton cüzdanlarını uygulamalarına entegre eden kullanıcıları hedefliyor.” Dedi. “Üretim ortamlarına entegre edilmeden önce üçüncü taraf paketlerde anormal veya kötü niyetli davranışları tespit etmek için düzenli bağımlılık denetimleri ve otomatik tarama araçları kullanılmalıdır.”