警惕！恶意PyPI包automslc被用于非法下载Deezer音乐，下载量超10万

安全研究人员发现了一个名为“automslc”的恶意Python包，该包被托管在Python Package Index (PyPI) 仓库中，被用于非法下载音乐流媒体服务Deezer上的音乐，下载量已超过10万次。

Socket安全研究员Kirill Boychenko在一份报告中指出，这个名为“automslc”的恶意软件包，声称提供音乐自动化和元数据检索功能，但实际上却通过嵌入硬编码凭据并与外部命令和控制（C2）服务器通信，绕过了Deezer的访问限制。

具体来说，该软件包旨在通过用户提供和硬编码的凭据登录法国音乐流媒体平台Deezer，收集曲目相关的元数据，并违反Deezer的API条款下载完整的音频文件。

该软件包还会定期与位于“54.39.49[.]17:8031”的远程服务器通信，以提供下载状态的更新，从而使威胁行为者能够集中控制协调的音乐盗版操作。

换句话说，automslc有效地将软件包用户的系统变成了一个非法网络，以便以未经授权的方式进行批量音乐下载。该IP地址与一个名为“automusic[.]win”的域名相关联，据称威胁行为者使用该域名来监督分布式下载操作。

Boychenko说：“Deezer的API条款禁止本地或离线存储完整的音频内容，但automslc通过下载和解密整个曲目绕过了这一限制，这可能会使用户面临法律后果。”

该软件包自2019年5月首次发布以来，至今已被下载超过104,000次。截至发稿时，该软件包仍可在PyPI上下载。（注：根据更新，该包现已下架）

此次披露之前，这家软件供应链安全公司还详细介绍了一个名为“@ton-wallet/create”的恶意npm软件包，该软件包被发现在TON生态系统中窃取毫无戒心的用户和开发者的助记词，同时冒充合法的“@ton/ton”软件包。

该软件包于2024年8月首次发布到npm注册表，迄今为止已吸引了584次下载。它仍然可以下载。

嵌入到库中的恶意功能能够提取process.env.MNEMONIC环境变量，从而使威胁行为者能够完全访问加密货币钱包，并可能耗尽受害者的数字资产。该信息会传输到攻击者控制的Telegram机器人。

Socket表示：“这次攻击构成了严重的供应链安全风险，目标是将其TON钱包集成到其应用程序中的开发人员和用户。应采用定期依赖项审计和自动化扫描工具来检测第三方软件包中的异常或恶意行为，然后再将它们集成到生产环境中。”

“automslc”恶意包的主要危害：

• 非法下载音乐：
  
   违反Deezer的API条款，未经授权下载音乐。
• 潜在的法律风险：
  
   用户可能因下载盗版音乐而面临法律诉讼。
• 隐私泄露：
  
   与C2服务器通信可能泄露用户信息。
• 被用作僵尸网络：
  
   用户的计算机可能被用于大规模非法下载。

“@ton-wallet/create”恶意包的主要危害：

• 窃取助记词：
  
   威胁行为者可以完全访问加密货币钱包。
• 盗取数字资产：
  
   用户的加密货币可能被盗。
• 供应链攻击:
  
   针对TON生态系统的开发者和用户.

建议：

• PyPI和npm用户：
  
   在安装软件包之前，仔细检查软件包的名称、发布者和描述，避免安装来源不明或可疑的软件包。
• 使用安全工具：
  
   使用软件成分分析（SCA）工具扫描项目依赖项，检测已知的恶意软件包。
• 定期审计依赖项：
  
   定期审查和更新项目依赖项，删除不再使用或可疑的软件包。
• 开发者：
• 遵循安全编码实践，避免在代码中硬编码敏感信息。
• 对第三方库进行彻底的安全审查。
• 使用环境变量存储敏感数据，并妥善保护环境变量。

总结：

“automslc”和“@ton-wallet/create”恶意软件包的发现再次凸显了软件供应链攻击的威胁。开发者和用户都应提高警惕，采取必要的安全措施，保护自己的系统和资产免受此类攻击。

原文始发于微信公众号（技术修道场）：警惕！恶意PyPI包“automslc”被用于非法下载Deezer音乐，下载量超10万