2019年以降、「automslc」という悪意のあるPyPiパッケージがPython Package Indexから10万回以上ダウンロードされており、ハードコードされた認証情報を悪用して、ストリーミングサービス「Deezer」の音楽を海賊版に利用している。
Deezerは180カ国で利用可能な音楽ストリーミングサービスで、9000万曲以上の楽曲、プレイリスト、ポッドキャストへのアクセスを提供している。Deezerは180カ国で利用可能な音楽ストリーミング・サービスで、9,000万曲以上のプレイリストやポッドキャストへのアクセスを提供している。広告付きの無料版と、より高音質でオフラインリスニングをサポートする有料版がある。
セキュリティ会社のSocketがこの悪質なパッケージを発見し、Deezerの認証情報をハードコーディングしてメディアをダウンロードし、プラットフォームからメタデータをスクレイピングすることで音楽を海賊版にすることを発見した。
海賊版ツールは一般的にマルウェアと見なされないが、automslcは集中制御のためにコマンド・アンド・コントロール(C2)インフラを使用しており、潜在的に無防備なユーザーを分散ネットワークに取り込む可能性がある。
さらに、このツールは他の悪意のある活動に簡単に再利用できるため、ユーザーは常に危険にさらされている。
これを書いている時点では、automslcはまだPyPIからダウンロード可能である。
Deezer音楽の海賊版
悪意のあるパッケージは、サービスにログインするためにハードコードされたDeezerのアカウント認証情報を含むか、サービスのAPIで認証されたセッションを作成するためにユーザーから提供されたものを使用する。
ログインすると、トラックのメタデータを要求し、内部の復号化トークン、特にDeezerがURL生成に使用する「MD5_ORIGIN」を抽出します。
次に、スクリプトは内部APIコールを使用して、フルレングスのストリーミングURLを要求し、Deezerが公開アクセスに許可している30秒のプレビューをバイパスして、オーディオファイル全体を取得する。
ダウンロードされたオーディオファイルは、高音質フォーマットでユーザーのデバイスにローカルに保存され、オフラインでの視聴や配信が可能になる。
これはDeezerの利用規約と著作権法の両方に違反し、ユーザーを知らないうちに危険にさらしている。
automslcパッケージは、無制限に楽曲のリクエストとダウンロードを繰り返すことができ、事実上、大規模な海賊行為を可能にしている。
このパッケージの背後にいる人物について、Socketは様々なアカウントとGitHubリポジトリで “hoabt2 “と “Thanh Hoa “というエイリアスを確認したが、身元は不明である。
automslcをスタンドアロン・ツールとして、あるいはソフトウェア・プロジェクトの一部として使用している場合、このツールは違法行為を許可しており、トラブルに巻き込まれる可能性があることを知っておいてほしい。
C2指向の動作は、脅威アクターが単に受動的な違法コピーツールを提供するのではなく、違法コピー活動を積極的に監視および調整していることを示唆しており、今後のアップデートでより悪質な動作を導入するリスクを高めます。
Comments