Pesquisadores de segurança cibernética descobriram um pacote Python malicioso chamado “automslc” no repositório Python Package Index (PyPI). O software foi projetado para contornar restrições da API do Deezer e realizar downloads não autorizados de músicas, levantando preocupações sobre pirataria digital e segurança na cadeia de suprimentos de software.
Pacote PyPI facilita pirataria musical
O pacote já foi baixado mais de 104 mil vezes desde sua publicação inicial em maio de 2019 e continua disponível no PyPI. Segundo Kirill Boychenko, pesquisador da empresa de segurança Socket, o software incorpora credenciais codificadas e se comunica com um servidor de comando e controle (C2) para coordenar downloads ilegais de faixas completas.
Como o automslc opera?
O “automslc” acessa o Deezer por meio de credenciais embutidas e registradas pelos usuários. Em seguida, coleta metadados das músicas e baixa arquivos de áudio completos, violando os termos de uso da API do serviço de streaming. Além disso, o software se comunica periodicamente com um servidor remoto no endereço “54.39.49[.]17:8031” para atualizar o status dos downloads e coordenar a distribuição do conteúdo pirateado.
Essa operação transforma os dispositivos dos usuários em uma rede ilícita de download de músicas, sem o conhecimento ou consentimento explícito dos envolvidos. O servidor utilizado está associado ao domínio “automusic[.]win”, que seria o ponto central de controle da atividade fraudulenta.
Riscos para os usuários
A API do Deezer proíbe o armazenamento offline de músicas completas. No entanto, ao baixar e descriptografar as faixas, o “automslc” dribla essa restrição, expondo os usuários a possíveis repercussões legais. Além disso, o uso de pacotes não verificados pode comprometer a segurança dos sistemas, aumentando o risco de ataques cibernéticos.
Outras ameaças na cadeia de suprimentos de software
A descoberta do “automslc” acontece ao mesmo tempo em que a empresa Socket identificou outro pacote malicioso, desta vez no repositório npm. Chamado “@ton-wallet/create”, ele se disfarça como uma versão legítima do “@ton/ton” e já foi baixado 584 vezes desde sua publicação em agosto de 2024.
Esse pacote é projetado para roubar frases mnemônicas de carteiras de criptomoedas TON ao extrair a variável de ambiente “process.env.MNEMONIC” e enviar as informações para um bot no Telegram controlado pelos invasores. Com acesso a essa chave, os criminosos podem esvaziar os fundos das vítimas.
Como se proteger?
Especialistas recomendam que desenvolvedores e usuários implementem práticas rigorosas de segurança, como auditorias frequentes em dependências de software e o uso de ferramentas automatizadas para detectar comportamentos suspeitos. Essas medidas são essenciais para mitigar riscos e evitar a integração de pacotes comprometidos em ambientes de produção.