Um pacote malicioso de PyPi, com o nome de “automslc”, esteve durante anos disponível publicamente, embora tenha permitido contornar proteções de segurança da plataforma de streaming Deezer, para descarregar as músicas da mesma. O pacote esteve disponível no Python Package Index desde 2019, e terá sido descarregado mais de 100.000 vezes.
Este pacote teria integradas credenciais que ajudavam a descarregar músicas da plataforma de streaming Deezer. Os dados mais recentes apontam que a Deezer, embora não seja uma das plataformas de streaming de músicas mais usadas no mercado, conta com cerca de 90 milhões de músicas disponíveis, tendo disponível um plano gratuito suportado por publicidade e planos pagos com extras.
No entanto, a plataforma não permite que as músicas sejam diretamente descarregadas para os sistemas locais, o que abriria portas para pirataria. Porém, o pacote “automslc” estaria a ser disponibilizado desde 2019, e permitia realizar isso mesmo.
Segundo os investigadores da empresa de segurança Socket, o pacote continha chaves de acesso encriptadas, que permitiam aceder a contas dentro desta plataforma, e usar as mesmas para descarregar as músicas e informações de metadados.
Além disso, o pacote teria ainda ligações diretas para um servidor remoto, de onde eram recebidos e enviados comandos para se realizar a atualização das credenciais, ou simplesmente para enviar informação direta sobre os downloads realizados. Esta ligação será onde se encontra o potencial para danos, tendo em conta que poderá ser usada para outras atividades, e algumas das quais potencialmente maliciosas.
Quem tenha descarregado este pacote do PyPi pode estar, sem saber, aberto a possíveis ataques, tendo em conta que a qualquer momento o servidor remoto pode enviar comandos para atividades maliciosas do mesmo.
Na sua base, o pacote usa os dados de credenciais de login, sejam as nativas ou fornecidas pelos utilizadores, para descarregar as músicas completas da Deezer. O sistema usa as APIs internas do serviço para esta tarefa, tendo como base as pré-visualizações de 30 segundos das músicas, e de onde recolhe depois a faixa completa.
Embora o pacote não seja diretamente maliciosos, a forma como o mesmo se encontra desenvolvido pode abrir portas para usos potencialmente danosos, e pode colocar em risco tanto os utilizadores que estejam a usar o mesmo, como todas as credenciais colocadas neste para acesso a contas da Deezer.
Nenhum comentário
Seja o primeiro!