PyPI-csomag kihasználja a Deezer API-t
A Socket kutatói felfedeztek egy rosszindulatú Python csomagot, az automslc-t, amely a Deezer zenei streaming szolgáltatás API-ját kihasználva koordinált zenei kalózkodást tesz lehetővé. Ez a csomag, amelyet több mint 100 000 alkalommal töltöttek le, eredetileg zenei automatizálási és metaadat-lekérési funkciókat ígér, azonban valójában megkerüli a Deezer hozzáférési korlátozásait beágyazott hitelesítési adatok és egy külső vezérlőszerver (C2) segítségével.
Az automslc csomag képes bejelentkezni a Deezer rendszerébe, összegyűjteni a zeneszámok metaadatait, lekérni a teljes hosszúságú streaming URL-eket, és letölteni a teljes audió fájlokat, ezzel súlyosan megsértve a Deezer API használati feltételeit. A csomag jelenleg is elérhető a Python Package Indexen (PyPI), de a kutatók már kezdeményezték annak eltávolítását.
