Cybersecurity-Experten von Socket haben eine schwerwiegende Bedrohung im Python Package Index (PyPI) aufgedeckt. Das als automslc bekannte Schadpaket wurde seit 2019 über 100.000 Mal heruntergeladen und ermöglicht unauthorisierten Zugriff auf den Musik-Streaming-Dienst Deezer, um urheberrechtlich geschützte Inhalte zu extrahieren.
Technische Analyse der Malware-Funktionsweise
Die Untersuchungen zeigen, dass automslc hartcodierte Zugangsdaten für Deezer enthält – einen Musikdienst mit Präsenz in 180 Ländern. Das Paket nutzt diese Credentials, um authentifizierte API-Sessions zu etablieren. Alternativ können Anwender auch eigene Zugangsdaten bereitstellen. Nach erfolgreicher Authentifizierung extrahiert das Schadprogramm Track-Metadaten und spezielle Entschlüsselungs-Token, insbesondere den MD5_ORIGIN-Schlüssel, der für die Generierung geschützter URLs essentiell ist.
Command & Control Infrastruktur als zusätzliche Bedrohung
Besonders besorgniserregend ist die implementierte Command & Control (C&C) Architektur des Pakets. Diese ermöglicht eine zentrale Steuerung infizierter Systeme und könnte potenziell für den Aufbau eines Botnetzes missbraucht werden. Der Entwickler, der unter den Pseudonymen hoabt2 und Thanh Hoa agiert, überwacht und koordiniert aktiv die Nutzeraktivitäten, was auf eine organisierte cyberkriminelle Operation hindeutet.
Risiken für Entwickler und Organisationen
Die Präsenz des Schadpakets in PyPI stellt ein erhebliches Sicherheitsrisiko dar. Neben der offensichtlichen Verletzung von Urheberrechten birgt die C&C-Funktionalität das Potenzial für weitreichendere Cyberangriffe. Die Möglichkeit zur Remote-Steuerung infizierter Systeme macht automslc zu einem gefährlichen Werkzeug für cyberkriminelle Aktivitäten.
Entwickler und Organisationen sollten ihre Abhängigkeiten dringend auf die Präsenz von automslc überprüfen und das Paket umgehend entfernen. Zur Prävention ähnlicher Vorfälle empfiehlt sich die Implementierung automatisierter Sicherheitsscans für Third-Party-Packages sowie die Nutzung vertrauenswürdiger Package-Registries mit strengen Sicherheitsrichtlinien. Eine regelmäßige Sicherheitsüberprüfung aller externen Abhängigkeiten ist unerlässlich, um die Integrität von Entwicklungsumgebungen zu gewährleisten.
