Socket-Sicherheitsforscher verweisen auf das bösartige PyPi-Paket automslc. Es ermöglicht illegal Musikpiraterie von der Plattform Deezer.
Sicherheitsforscher von Socket entdeckten ein bösartiges Python-Paket im Python Package Index (PyPI). Das PyPi-Paket automslc missbraucht die API des französischen Musikstreaming-Dienstes Deezer, um koordinierte illegale Musikpiraterie zu ermöglichen. Seit 2019 haben es User bereits 104.000 Mal heruntergeladen.
Deezer ist ein globaler Musikstreaming-Dienst, der im August 2007 in Frankreich gegründet wurde. Neben Hörbüchern, Hörspielen und Podcasts bietet er hauptsächlich Zugriff auf über 90 Millionen Songs. Nutzer in mehr als 180 Ländern können Inhalte mit einer Bitrate von bis zu 320 kbit/s streamen. Mit Deezer HiFi ist sogar verlustfreies Audio mit 1411 kbit/s möglich.
Das Angebot umfasst eine kostenlose, werbefinanzierte Version sowie Premium-Abonnements. Bezahl-User profitieren von besserer Klangqualität und Offline-Wiedergabe. Deezer hat rund 16 Millionen aktive Nutzer weltweit.
Missbrauch der Deezer-API für illegale Massendownloads
Das Python-Paket „automslc“ im Python Package Index (PyPI) nutzt die Deezer-API, um illegalen Musik-Download von Deezer sowie eine mögliche Weiterverteilung der Titel zu gestatten. Das Paket enthält dabei fest codierte Deezer-Zugangsdaten und ruft Metadaten von der Plattform ab. Im Ergebnis ermöglicht es dies, auf den Dienst zuzugreifen und Musik herunterzuladen. Die Nutzung des Paketes erweist sich jedoch nicht nur als illegal, sondern es birgt zudem noch erhebliche Sicherheitsrisiken.
PyPi-Paket automslc nutzt eine Command-and-Control (C2)-Infrastruktur, die es dem Entwickler erlaubt, zentralisierte Befehle an die installierten Instanzen zu senden. Gemäß den Socket-Sicherheitsforschern könnte dies dazu führen, dass Nutzer unwissentlich Teil eines verteilten Netzwerks werden, das für weitere bösartige Aktivitäten missbraucht wird.
Socket-Sicherheitsforscher Kirill Boychenko erläutert in seinem aktuellen Bericht:
„Das Paket ist darauf ausgelegt, sich bei Deezer anzumelden, Metadaten von Titeln zu sammeln, vollständige Streaming-URLs anzufordern und komplette Audiodateien herunterzuladen, was eindeutig gegen die API-Bedingungen von Deezer verstößt.“
PyPi-Paket automslc verwandelt User-Systeme in Piraterie-Netzwerk
Das Paket verbindet sich regelmäßig mit dem Remote-Server unter „54.39.49[.]17:8031“. Dort werden Updates zum Download-Status übermittelt, wodurch der Angreifer die koordinierte Musikpiraterie zentral steuern kann. PyPi-Paket automslc verwandelt die Geräte der Nutzer damit in ein illegales Netzwerk. Dieses ermöglicht unautorisierte Massendownloads von Musik. Die zugehörige IP-Adresse ist mit der Domain „automusic[.]win“ verknüpft. Kirill Boychenko zufolge nutzt der Betreiber diese, um den verteilten Downloadprozess zu kontrollieren:
„Im Gegensatz zu legitimen Peer-to-Peer-Systemen, die dezentrale Tracker oder Distributed Hash Table (DHT)-Netzwerke verwenden, wird wiederholt über fest codierte Anmeldeinformationen Kontakt zu einem Remote-Server hergestellt 54.39.49[.]17, sodass es eher wie ein C2-Hub als wie ein typischer File-Sharing-Knoten fungiert. Dieses zentralisierte Modell in Kombination mit eingebetteten API-Tokens und Anmeldeinformationen wirft ernsthafte Bedenken hinsichtlich unbefugtem Zugriff, verdeckter Koordination und dem Potenzial für zusätzliche bösartige Nutzdaten auf.“
Verbindung zu verdächtiger Remote-Server-Infrastruktur
Gemäß Socket agiert der Bedrohungsakteur hinter automslc unter den Aliasnamen „hoabt2“ und „Thanh Hoa“ mit einer registrierten Gmail-Adresse „getmoneykhmt3@gmail.com“ und einem GitHub-Repository https://github.com/vtandroid.
Wie BleepingComputer verdeutlicht, lässt „die C2-orientierte Operation darauf schließen, dass der Bedrohungsakteur die Piraterieaktivitäten aktiv überwacht und koordiniert, anstatt einfach nur ein passives Piraterietool bereitzustellen. Dadurch steigt das Risiko, dass in zukünftigen Updates noch bösartigere Verhaltensweisen eingeführt werden“.
