رصد باحثون في مجال الأمن السيبراني مكتبة خبيثة في مستودع Python Package Index (PyPI) تُستخدم لتسهيل تنزيلات غير مصرح بها من خدمة بث الموسيقى Deezer.
الحزمة المعنية تحمل اسم automslc، وقد تم تنزيلها أكثر من 104,000 مرة حتى الآن. تم نشرها لأول مرة في مايو 2019، ولا تزال متاحة على PyPI حتى وقت كتابة هذا التقرير.
وفقًا للباحث الأمني كيريل بويتشينكو من شركة Socket، فإن automslc تدّعي أنها توفر وظائف لأتمتة الموسيقى واسترداد البيانات الوصفية، لكنها في الواقع تتجاوز قيود الوصول في Deezer من خلال تضمين بيانات اعتماد مدمجة والتواصل مع خادم قيادة وتحكم (C2) خارجي.
كيفية عمل الحزمة الضارة؟
تعمل الحزمة على:
✅ تسجيل الدخول إلى منصة Deezer باستخدام بيانات اعتماد مدمجة أو يحددها المستخدم.
✅ جمع البيانات الوصفية للمقاطع الصوتية.
✅ تنزيل الملفات الصوتية الكاملة، مما يعد انتهاكًا لشروط استخدام واجهة برمجة التطبيقات (API) الخاصة بـ Deezer.
✅ التواصل بشكل دوري مع خادم بعيد على العنوان “54.39.49[.]17:8031”، لإرسال تحديثات حول حالة التنزيل، مما يمنح المهاجم تحكمًا مركزيًا في عمليات القرصنة الموسيقية.
بمعنى آخر، تحوّل automslc أجهزة مستخدمي الحزمة إلى شبكة غير قانونية لتنزيل الموسيقى بالجملة. كما أن عنوان IP المرتبط بالحزمة مرتبط بنطاق “automusic[.]win”، الذي يستخدمه المهاجمون لإدارة عمليات التنزيل الموزعة.
المخاطر القانونية للمستخدمين
تحظر شروط استخدام Deezer API تخزين المحتوى الصوتي بالكامل محليًا أو في وضع عدم الاتصال، ولكن من خلال تنزيل وفك تشفير المقاطع الموسيقية بالكامل، تتجاوز automslc هذا القيد، مما يعرض المستخدمين لمخاطر قانونية محتملة.
تهديدات أخرى لسلاسل التوريد البرمجية
يأتي هذا الكشف في الوقت الذي حددت فيه شركة Socket أيضًا حزمة npm ضارة تُعرف باسم @ton-wallet/create، والتي تقوم بسرقة العبارات الأولية (mnemonic phrases) من المستخدمين والمطورين في نظام TON، متظاهرة بأنها الحزمة الشرعية @ton/ton.
🔴 تم نشر هذه الحزمة في أغسطس 2024 وتم تنزيلها 584 مرة حتى الآن، ولا تزال متاحة للتنزيل.
🔴 تحتوي الحزمة على وظائف خبيثة يمكنها استخراج متغير البيئة process.env.MNEMONIC، مما يمنح المهاجمين وصولاً كاملاً إلى محفظة العملات المشفرة الخاصة بالضحية، وقد يؤدي ذلك إلى سرقة الأصول الرقمية بالكامل.
🔴 يتم إرسال البيانات المسروقة إلى بوت تيليغرام يتحكم فيه المهاجمون.
كيف تحمي نفسك؟
🔹 إجراء عمليات تدقيق منتظمة على تبعيات البرمجيات.
🔹 استخدام أدوات فحص تلقائية لاكتشاف أي سلوك مشبوه في الحزم قبل دمجها في بيئات الإنتاج.
🔹 تجنب تنزيل حزم من مصادر غير موثوقة أو غير موثقة.
هذه الهجمات تسلط الضوء على المخاطر المتزايدة لأمن سلاسل التوريد البرمجية، مما يجعل من الضروري للمطورين والمستخدمين توخي الحذر عند التعامل مع حزم الطرف الثالث.
