发现了一个名为 ‘automslc’ 的恶意 PyPi 包,自 2019 年以来,该包已被下载超过 100,000 次,利用硬编码凭证从 Deezer 流媒体服务非法下载音乐。 Deezer 是一个在 180 个国家/地区使用的流媒体平台,提供超过 9000 万首曲目和其他音频内容的访问权限,用户可以通过免费和付费订阅收听。来源。安全公司 Socket 透露,’automslc’ 包不仅盗版音乐,还通过采用命令和控制(C2)基础设施,可能将用户的设备整合到有害网络中,对用户构成重大风险。该软件包在 PyPI 上仍然可用,可以重新用于其他恶意活动,从而进一步危及用户。 该软件包通过使用硬编码的 Deezer 凭证或用户提供的凭证来使用 Deezer 的 API 创建经过身份验证的会话。然后,它会提取内部解密令牌以下载完整的高质量音频文件,而没有典型的 30 秒预览限制。这种行为违反了 Deezer 的服务条款,并违反了版权法,使用户面临法律风险。
