Επικίνδυνη επέκταση στο PyPI: Το “automslc” παρακάμπτει τους περιορισμούς του Deezer για παράνομες λήψεις
Το “automslc” εμφανίζεται επιφανειακά ως εργαλείο για αυτοματοποίηση και ανάκτηση μεταδεδομένων μουσικής. Ωστόσο, κρυφά ενορχηστρώνει μαζικές λήψεις πλήρων κομματιών, αξιοποιώντας μια σειρά από Deezer APIs. Μέσω εντολών προς τον C2 server (στον οποίο στέλνει πληροφορίες όπως Deezer IDs, ISRCs και ειδικά tokens), η επέκταση αντλεί τα απαραίτητα κλειδιά και URLs για να κατεβάζει τραγούδια σε πλήρες μήκος, παραβιάζοντας κατάφωρα τους όρους της πλατφόρμας.
Με αυτήν την πρακτική, το “automslc” θέτει σοβαρά ζητήματα νομικής και ηθικής φύσης, καθώς οι χρήστες, εν αγνοία τους ή όχι, γίνονται μέρος μιας ευρύτερης πειρατικής λειτουργίας. Η ίδια η βιβλιοθήκη καταγράφει και αναμεταδίδει δεδομένα (π.χ. metadata, κρυπτογραφικά κλειδιά) προς τον απομακρυσμένο server, επιτρέποντας στον δράστη να παρακολουθεί τις λήψεις και να ελέγχει κεντρικά τις ενέργειες. Παράλληλα, τα σκληρά ενσωματωμένα διαπιστευτήρια Deezer διευκολύνουν την επανασύνδεση και την εκμετάλλευση της υπηρεσίας σε επαναλαμβανόμενη βάση.
Αρκετές λύσεις ασφαλείας ήδη εντοπίζουν και προειδοποιούν για την επέκταση, ενώ έχει υποβληθεί αίτημα αφαίρεσης στο PyPI. Στο μεταξύ, οι ειδικοί συνιστούν στους προγραμματιστές και τις ομάδες ασφαλείας να ελέγχουν προσεκτικά τις εξαρτήσεις τους, αξιοποιώντας εργαλεία όπως το Socket για έγκαιρο εντοπισμό κακόβουλων συμπεριφορών. Με τα περιστατικά κακόβουλων πακέτων να πολλαπλασιάζονται, η συστηματική ανάλυση κώδικα και η αφαίρεση ύποπτων εξαρτήσεων αποτελούν καίρια βήματα για την προστασία της εφοδιαστικής αλυσίδας λογισμικού.
720
