Pesquisadores de segurança cibernética identificaram um pacote malicioso no repositório Python Package Index (PyPI) chamado automslc, que facilita downloads não autorizados de músicas do Deezer. O pacote, disponível desde maio de 2019, já foi baixado mais de 104.000 vezes. Segundo Kirill Boychenko, pesquisador da Socket Security, o automslc aparenta oferecer automação musical e recuperação de metadados, mas na realidade contorna as restrições do Deezer ao usar credenciais codificadas e se comunicar com um servidor remoto de comando e controle (C2). Isso permite baixar músicas completas ilegalmente, violando os termos de uso da API da plataforma.

O pacote se conecta periodicamente ao servidor 54.39.49[.]17:8031, permitindo que os operadores monitorem e coordenem as atividades de pirataria em larga escala. O IP está vinculado ao domínio automusic[.]win, usado para supervisionar os downloads distribuídos. Além disso, usuários que utilizam o pacote correm risco legal, pois ele efetivamente transforma seus sistemas em uma rede ilegal de obtenção de músicas. A revelação acontece no mesmo momento em que outra ameaça foi detectada na cadeia de fornecimento de software: um pacote npm chamado @ton-wallet/create, que rouba frases mnemônicas de usuários da blockchain TON, permitindo que invasores tenham acesso total a carteiras de criptomoedas.

Publicado no npm registry em agosto de 2024, o pacote teve 584 downloads até agora e segue disponível para download. Ele extrai a variável process.env.MNEMONIC, transmitindo os dados roubados para um bot no Telegram controlado pelos criminosos. A Socket Security alerta que esses ataques representam graves riscos à cadeia de fornecimento de software, visando desenvolvedores e usuários de carteiras TON. Como medida de segurança, recomenda-se o uso de auditorias regulares de dependências e ferramentas automatizadas para identificar pacotes suspeitos antes da integração em ambientes de produção.