Un package PyPI malveillant nommé « automslc » a été téléchargé plus de 100 000 fois à partir de l’Index des packages Python depuis 2019, abusant des informations d’identification codées en dur pour pirater la musique du service de streaming Deezer.
Deezer est un service de streaming musical disponible dans 180 pays qui offre un accès à plus de 90 millions de titres, listes de lecture et podcasts. Il est proposé via un niveau gratuit financé par la publicité ou des abonnements payants qui prennent en charge une qualité audio supérieure et une écoute hors ligne.
La société de sécurité Socket a découvert le package malveillant et a découvert qu’il piratait la musique en codant en dur les informations d’identification Deezer pour télécharger des médias et extraire les métadonnées de la plate-forme.
Même si les outils de piratage ne sont généralement pas considérés comme des logiciels malveillants, automslc utilise une infrastructure de commande et de contrôle (C2) pour un contrôle centralisé, cooptant potentiellement des utilisateurs sans méfiance dans un réseau distribué.
De plus, l’outil pourrait être facilement réutilisé pour d’autres activités malveillantes, de sorte que ses utilisateurs sont constamment exposés à des risques.
Au moment d’écrire ces lignes, automslc est toujours disponible au téléchargement sur PyPI.
Piratage de la musique Deezer
Le package malveillant contient des informations d’identification de compte Deezer codées en dur pour se connecter au service ou utilise celles fournies par l’utilisateur pour créer une session authentifiée avec l’API du service.
Une fois connecté, il demande des métadonnées de suivi et extrait des jetons de décryptage internes, en particulier « MD5_ORIGIN », que Deezer utilise pour la génération d’URL.
Ensuite, le script utilise des appels d’API internes pour demander des URL de streaming complètes et récupérer l’intégralité du fichier audio, en contournant l’aperçu de 30 secondes que Deezer autorise pour un accès public.
Les fichiers audio téléchargés sont stockés localement sur l’appareil de l’utilisateur dans un format de haute qualité, permettant une écoute et une distribution hors ligne.
Cela viole à la fois les conditions d’utilisation de Deezer et les lois sur les droits d’auteur, mettant les utilisateurs en danger à leur insu.
Le package automslc peut demander et télécharger des pistes à plusieurs reprises sans restriction, ce qui permet effectivement un piratage à grande échelle.
Quant à savoir qui est derrière le paquet, Socket a identifié les alias « hoabt2 » et « Thanh Hoa » sur divers comptes et dépôts GitHub, mais leurs identités sont inconnues.
Si vous utilisez automslc en tant qu’outil autonome ou dans le cadre d’un projet logiciel, sachez que l’outil permet des activités illégales et pourrait vous causer des ennuis.
L’opération orientée C2 suggère que l’auteur de la menace surveille et coordonne activement l’activité de piratage plutôt que de simplement fournir un outil de piratage passif, ce qui augmente le risque d’introduire davantage de comportements malveillants dans les futures mises à jour.