Зловредный пакет PyPI использовался для эксплуатации API Deezer и организации распределенной операции по пиратству

Злонамеренный пакет для PyPi фактически превратил системы пользователей "в нелегальную сеть для массовых загрузок музыки", пишет The Hacker News.

Хотя пакет был удален со склада PyPI, исследователи из платформы безопасности Socket.dev утверждают, что он позволил "координированные и незаконные загрузки музыки с Deezer — популярного стримингового сервиса, основанного во Франции в 2007 году".

Несмотря на то что automslc был скачан более 100 000 раз и заявлял о предоставлении автоматизации музыки и извлечения метаданных, он скрытно обходил ограничения доступа к Deezer... Пакет предназначен для входа в систему Deezer, сбора метаданных треков, запроса URL-адресов полных стриминговых аудиофайлов и загрузки целых аудиозаписей с явным нарушением условий использования API Deezer... Он организует распределенную операцию по пиратству за счет использования как предоставленных пользователем, так и встроенных учетных записей Deezer для создания сессий с API Deezer. Этот подход обеспечивает полный доступ к метаданным треков и токенам дешифрования, необходимым для формирования URL-адресов полных аудиофайлов.

Кроме того, пакет регулярно обменивается данными с удаленным сервером... чтобы обновлять статусы загрузки и передавать метаданные, централизуя контроль и позволяя злоумышленнику отслеживать и координировать распределенную операцию по загрузке музыки. В результате automslc выдает критические детали треков — включая Deezer ID, Международные стандартные коды записи (ISRC), названия треков и внутренние токены, такие как MD5_ORIGIN (хэш, используемый для генерации URL-адресов дешифрования), — которые при массовом сборе могут использоваться для воссоздания полных URL-адресов и облегчения незаконных загрузок...

Даже если пользователь платит за доступ к сервису, контент лицензирован, а не принадлежит ему. Пакет automslc обходит ограничения лицензирования, позволяя загружать и потенциально распространять музыку за пределами рамок разумного использования...

"Злонамеренный пакет был изначально опубликован в 2019 году, а его популярность (более 100 000 скачиваний) свидетельствует о широком распространении..."