Die skrywer van mitmproxy, 'n instrument vir die ontleding van HTTP/HTTPS-verkeer, het die aandag gevestig op die voorkoms van 'n vurk van sy projek in die PyPI (Python Package Index) gids van Python-pakkette. Die vurk is versprei onder die soortgelyke naam mitmproxy2 en die nie-bestaande weergawe 8.0.1 (huidige vrystelling mitmproxy 7.0.4) met die verwagting dat onoplettende gebruikers die pakket sal sien as 'n nuwe uitgawe van die hoofprojek (tipesquatting) en sal wil hê om die nuwe weergawe te probeer.
In sy samestelling was mitmproxy2 soortgelyk aan mitmproxy, met die uitsondering van veranderinge met die implementering van kwaadwillige funksionaliteit. Die veranderinge het bestaan uit die ophou stel van die HTTP-opskrif "X-Frame-Options: DENY", wat die verwerking van inhoud binne die iframe verbied, beskerming teen XSRF-aanvalle deaktiveer en die opskrifte "Access-Control-Allow-Origin: *" stel. "Toegang-beheer- Laat-opskrifte toe: *" en "Toegang-beheer-Laat-metodes: POST, KRY, SKRYF, OPSIES".
Hierdie veranderinge het beperkings op toegang tot die HTTP-API verwyder wat gebruik word om mitmproxy via die webkoppelvlak te bestuur, wat enige aanvaller wat op dieselfde plaaslike netwerk geleë is, toegelaat het om die uitvoering van hul kode op die gebruiker se stelsel te organiseer deur 'n HTTP-versoek te stuur.
Die gidsadministrasie het ingestem dat die veranderinge wat gemaak is as kwaadwillig geïnterpreteer kan word, en die pakket self as 'n poging om 'n ander produk onder die dekmantel van die hoofprojek te bevorder (die beskrywing van die pakket het gesê dat dit 'n nuwe weergawe van mitmproxy was, nie 'n vurk). Nadat die pakket uit die katalogus verwyder is, is 'n nuwe pakket, mitmproxy-iframe, die volgende dag na PyPI gepos, waarvan die beskrywing ook heeltemal ooreenstem met die amptelike pakket. Die mitmproxy-iframe-pakket is ook nou uit die PyPI-gids verwyder.
Bron: opennet.ru