Inhaltsverzeichnis
PyPi-Paket automslc könnte riskant sein – Forscher warnen
Sicherheitsforscher von Socket haben vor Kurzem ein verdächtiges Python-Paket namens „automslc“ entdeckt. Es wird über das offizielle Verzeichnis Python Package Index (PyPI) angeboten und scheint eine gravierende Bedrohung für Musikdienstanbieter wie Deezer darzustellen. Das Paket nutzt Deezer-APIs, um illegale Musikdownloads durchzuführen. Gleichzeitig gibt es Hinweise darauf, dass auch Anwender gefährdet sein könnten, weil sich die Software als Teil eines größeren Netzwerks entpuppt. Im Folgenden erfahren Sie mehr über die Funktionsweise dieses Pakets, die dahinterstehenden Risiken sowie die zentrale Steuerung über verdächtige Remote-Server.
Entdeckung eines bösartigen PyPI-Pakets
Die Sicherheitsforscher von Socket stießen bei routinemäßigen Analysen auf ein ungewöhnliches Python-Paket im PyPI, das den Namen „automslc“ trägt. Bei näherer Untersuchung fiel ihnen auf, dass dieses Paket offenbar weder zu legitimen Entwicklungszwecken gedacht ist, noch einer harmlosen Open-Source-Anwendung entspricht. Stattdessen zeigt sich, dass „automslc“ gezielt die API des französischen Musikstreaming-Dienstes Deezer ausnutzt, um großflächige Musikdownloads anzustoßen. Laut den Erkenntnissen der Experten hat es seit 2019 bereits über 100.000 Downloads verzeichnet, was auf eine weitreichende Verbreitung hindeutet. Diese hohe Zahl wirft Fragen zur Überwachung und Kontrolle von PyPI-Paketen auf, da Angreifer offensichtlich Schlupflöcher in offiziellen Repositories nutzen.
Um Deezer für Piraterie auszunutzen, greift das Paket auf fest hinterlegte Zugangsdaten zu, die anscheinend illegal erlangt wurden. Dadurch umgeht „automslc“ Authentifizierungsmechanismen und ruft Metadaten von Titeln ab. Die Entwickler haben den Code so gestaltet, dass das Paket komplette Audiodateien anfordert. Diese Praxis steht klar gegen die Nutzungsbedingungen von Deezer, da unerlaubte Massen-Downloads gefördert und die Rechteinhaber geschädigt werden. Sie als Anwender sollten daher äußerste Vorsicht walten lassen, wenn Sie im PyPI auf vermeintlich nützliche Pakete stoßen, die nur rudimentäre Beschreibungstexte bieten oder deren Herkunft unklar ist.
Missbrauch der Deezer-API und illegale Piraterie
Deezer bietet seinen Nutzern weltweit die Möglichkeit, Millionen von Songs und andere Audioinhalte wie Podcasts zu streamen. Für gewöhnlich läuft der Zugriff über offizielle Anwendungen oder Partnerprogramme, die bestimmte Sicherheits- und Lizenzbestimmungen einhalten müssen. Im Fall des Pakets „automslc“ wird diese legitime Infrastruktur allerdings zweckentfremdet. Die Software nutzt nämlich fest codierte Tokens und Anmeldedaten, um unautorisiert auf die Deezer-API zuzugreifen. Dieser direkte und automatisierte Zugriff dient dazu, große Mengen an Musikdateien herunterzuladen, ohne die herkömmlichen Nutzungsrechte zu beachten.
Die Sicherheitsforscher betonen, dass dieses Vorgehen nicht nur die Plattform selbst schädigt, sondern auch für Anwender riskant ist. Wer das Paket installiert, könnte sich unwissentlich an systematischer Piraterie beteiligen. Zudem birgt das Vorgehen datenschutzrechtliche Probleme, da das Tool Informationen über Download-Status und Nutzungsgewohnheiten an einen externen Server funkt. Sollten Sie zu Test- oder anderen Zwecken ein Python-Paket installieren, das Ihnen nicht vertraut ist, empfiehlt sich eine vorherige Prüfung. Achten Sie dabei auf verdächtige Befehle, umfangreiche Netzwerkaktivitäten oder hartcodierte API-Schlüssel. Mitunter lohnt sich auch ein Blick auf die zugrunde liegende Codebasis, sofern diese öffentlich einsehbar ist. Letztendlich ist ein solches Vorgehen nicht nur eine rechtliche Grauzone, sondern kann auch erhebliche Sicherheitslücken auf Ihrem System hinterlassen.
Command-and-Control-Funktionen in automslc
Neben dem unerlaubten Downloadprozess haben die Experten eine besonders brisante Funktion in „automslc“ festgestellt: Eine Art Command-and-Control (C2)-Struktur, die es dem Betreiber erlaubt, von einem zentralen Server aus Befehle an alle installierten Instanzen zu übermitteln. Diese C2-Funktionalität wird durch eine Verbindung zur IP-Adresse „54.39.49[.]17:8031“ realisiert, bei der Statusinformationen und mögliche Anweisungen ausgetauscht werden. Somit bleibt der Entwickler imstande, jeden Schritt des Downloadprozesses zu überwachen und bei Bedarf zu steuern.
Laut den Berichten von Socket könnte dies bedeuten, dass Sie als Nutzer unbemerkt Teil eines größeren Netzwerks werden, das nicht nur Musik illegal beschafft, sondern gegebenenfalls auch für andere bösartige Aktionen missbraucht werden kann. Die Sicherheitsforscher erklären, dass in solchen Netzwerken neue Funktionen oder schädliche Nutzdaten in Form von Updates eingespielt werden können. So ist es durchaus denkbar, dass Ihr System ohne Ihr Wissen zusätzliche Aufgaben übernimmt, etwa das Verteilen infizierter Dateien. Solch eine zentrale Struktur ähnelt weniger typischen Peer-to-Peer-Anwendungen, bei denen Nutzer Dateien untereinander tauschen, sondern gleicht eher einem kontrollierten Botnetz, in dem ein einzelner Akteur die Fäden zieht. Aufgrund dieser Risiken raten Fachleute dringend davon ab, das Paket „automslc“ zu installieren, geschweige denn aktiv zu verwenden.
Verdächtige Infrastruktur und Vorsichtsmaßnahmen
Untersuchungen zeigen, dass hinter dem Paket „automslc“ offenbar eine Person oder Gruppe agiert, die unter den Pseudonymen „hoabt2“ und „Thanh Hoa“ in Erscheinung tritt. Diese verwendet die Gmail-Adresse „[email protected]“ sowie das GitHub-Konto „vtandroid“. Aus den veröffentlichten Informationen geht hervor, dass die verwendete Domain „automusic[.]win“ ebenfalls in dieses Netzwerk eingebunden ist. Damit wird erkennbar, dass das gesamte Pirateriesystem keineswegs ein einmaliges Skript darstellt, sondern Teil einer gut strukturierten Infrastruktur ist.
Security-Experten betonen, dass „automslc“ nicht nur passiv illegale Kopien von Musikdateien ermöglicht. Vielmehr überwachen die Angreifer den Fortschritt aktiv und könnten das Paket weiterentwickeln, um künftige Funktionen hinzuzufügen, die noch schädlichere Auswirkungen haben. Sie als Anwender sollten daher besonders aufmerksam bleiben, wenn Sie sich im PyPI umsehen. Achten Sie genau auf Bewertungen, Downloads und Kommentare anderer Nutzer. Insbesondere Pakete ohne ausreichende Dokumentation oder bei denen der Quellcode verschleiert ist, können ein Warnsignal sein. Wenn Sie Verdächtiges feststellen, können Sie den Vorfall bei der jeweiligen Plattform melden. Dies trägt dazu bei, bösartige Projekte so schnell wie möglich zu entfernen. Schließlich zeigt der Fall „automslc“, dass selbst offizielle Repositorys nicht vor Missbrauch gefeit sind und grundlegende Sicherheitsprüfungen unerlässlich sind, um Daten und Geräte zu schützen.
Darüber hinaus ist es immer ratsam, über eine aktuelle Antivirensoftware zu verfügen, die Cyberbedrohungen im Keim erstickt.