Un paquete malicioso de PyPi llamado ‘automslc’ y que ha sido descargado más de 100.000 veces del Python Package Index (PyPi) desde 2019, utilizando credenciales codificadas para piratear música del servicio de transmisión Deezer.
Piratería de Música en Deezer
Deezer es un servicio de transmisión de música disponible en 180 países, con acceso a más de 90 millones de canciones, listas de reproducción y pódcast.
Ofrece una opción gratuita con anuncios o suscripciones de pago que permiten una mejor calidad de audio y la opción de escuchar sin conexión.
Una firma de seguridad (Socket) descubrió el paquete malicioso y encontró que utilizaba credenciales codificadas de Deezer para descargar medios y raspar metadatos de la plataforma.
Aunque las herramientas de piratería generalmente no se consideran malware, automslc usa infraestructura de comando y control (C2) para tener un control centralizado, lo que podría convertir a los usuarios desprevenidos en parte de una red distribuida.
Riesgos para los Usuarios ⚠️
Además de la piratería, la herramienta podría ser fácilmente reutilizada para otras actividades maliciosas, lo que expone constantemente a los usuarios a riesgos.
Hasta el momento de escribir este artículo, el paquete automslc sigue estando disponible para descarga en PyPI.
Funcionamiento del Paquete Malicioso
El paquete malicioso contiene credenciales de cuenta codificadas de Deezer para iniciar sesión en el servicio o usa las proporcionadas por el usuario para crear una sesión autenticada con la API del servicio.
Una vez que el paquete inicia sesión, solicita metadatos de pistas y extrae tokens internos de descifrado, específicamente ‘MD5_ORIGIN’ que Deezer utiliza para la generación de URL.
Luego, el script usa llamadas a la API interna para solicitar URLs de streaming completas y descargar el archivo de audio completo, eludiendo el avance de 30 segundos que Deezer permite para el acceso público.
Los archivos de audio descargados se almacenan localmente en el dispositivo del usuario en un formato de alta calidad, lo que permite escuchar sin conexión y distribución.
Este comportamiento viola los términos de servicio de Deezer y las leyes de derechos de autor, poniendo a los usuarios en riesgo sin que ellos lo sepan.
Posibles Consecuencias Legales ⚖️
El paquete automslc permite realizar solicitudes y descargas repetidas de pistas sin restricción, lo que efectivamente posibilita una piratería a gran escala.
En cuanto a la identidad detrás del paquete, Socket identificó los alias “hoabt2” y “Thanh Hoa” en varias cuentas y repositorios de GitHub, pero aún se desconoce la identidad del actor detrás de esta actividad.
Si estás utilizando automslc como una herramienta independiente o como parte de un proyecto de software, debes saber que esta herramienta permite actividad ilegal y podrías enfrentarte a problemas legales.
La operación orientada a C2 sugiere que el actor malicioso está monitoreando activamente y coordinando la actividad de piratería, lo que aumenta el riesgo de que en futuras actualizaciones se introduzcan más comportamientos maliciosos.