Йо-хо-хо и пакетик PyPi. Как automslc качал треки

В PyPi был обнаружен вредоносный пакет automslc, который был скачан более 100 000 раз с 2019 года. Этот пакет использует жёстко закодированные учётные данные Deezer для скачивания музыки и метаданных с популярного стримингового сервиса.

Несмотря на то, что обычно пиратские инструменты не считаются вредоносными, automslc имеет центральную инфраструктуру управления, что увеличивает риск вовлечения пользователей в распределённые сети и возможности для других вредоносных действий.

Пакет позволяет обходить ограничения Deezer, загружая аудиофайлы в полном формате и нарушая авторские права. Исследователи утверждают, что создатель пакета активно поддерживает пиратскую деятельность, а не просто предоставляет инструмент для этого. На данный момент automslc всё ещё доступен для загрузки на платформе PyPi.

«С точки зрения безопасности обнаружение вредоносного пакета automslc в PyPi — это серьёзное предупреждение для разработчиков и пользователей, работающих с этой платформой. Для защиты важно проверять исходный код пакетов, использовать только проверенные источники и регулярно обновлять зависимости. Также рекомендуется работать в виртуальных средах для изоляции потенциально опасных пакетов. Средства защиты информации, например SAST/DAST, должны регулярно проверять установленные пакеты на наличие известных уязвимостей и угроз. Включение механизмов автоматического сканирования на уязвимости поможет оперативно реагировать на новые угрозы. В случае использования пакетов с потенциально опасными действиями, таких как доступ к внешним сервисам, следует ограничить доступ к системам, требующим дополнительных прав или конфиденциальной информации. Например, СУБД Jatoba поможет в управлении доступом к чувствительным данным», — говорит киберэксперт компании «Газинформсервис» Михаил Спицын.