لفت مؤلف mitmproxy، وهي أداة لتحليل حركة مرور HTTP/HTTPS، الانتباه إلى ظهور شوكة لمشروعه في دليل PyPI (Python Package Index) لحزم Python. تم توزيع الشوكة تحت الاسم المشابه mitmproxy2 والإصدار غير الموجود 8.0.1 (الإصدار الحالي mitmproxy 7.0.4) مع توقع أن المستخدمين الغافلين سوف ينظرون إلى الحزمة على أنها إصدار جديد من المشروع الرئيسي (typesquatting) وسيريدون ذلك لتجربة الإصدار الجديد.
في تكوينه، كان mitmproxy2 مشابهًا لـ mitmproxy، باستثناء التغييرات مع تنفيذ الوظائف الضارة. تضمنت التغييرات إيقاف إعداد رأس HTTP "X-Frame-Options: DENY"، والذي يحظر معالجة المحتوى داخل iframe، وتعطيل الحماية ضد هجمات XSRF وتعيين الرؤوس "Access-Control-Allow-Origin: *"، "التحكم في الوصول - السماح بالرؤوس: *" و"أساليب السماح بالتحكم في الوصول: النشر، الحصول، الحذف، الخيارات".
أدت هذه التغييرات إلى إزالة القيود المفروضة على الوصول إلى واجهة برمجة تطبيقات HTTP المستخدمة لإدارة mitmproxy عبر واجهة الويب، مما سمح لأي مهاجم موجود على نفس الشبكة المحلية بتنظيم تنفيذ التعليمات البرمجية الخاصة به على نظام المستخدم عن طريق إرسال طلب HTTP.
وافقت إدارة الدليل على أن التغييرات التي تم إجراؤها يمكن تفسيرها على أنها ضارة، والحزمة نفسها على أنها محاولة للترويج لمنتج آخر تحت ستار المشروع الرئيسي (يشير وصف الحزمة إلى أن هذا إصدار جديد من mitmproxy، وليس شوكة). بعد إزالة الحزمة من الكتالوج، تم نشر حزمة جديدة في PyPI في اليوم التالي، mitmproxy-iframe، والتي يتطابق وصفها أيضًا تمامًا مع الحزمة الرسمية. تمت الآن أيضًا إزالة حزمة mitmproxy-iframe من دليل PyPI.
المصدر: opennet.ru