Аўтар mitmproxy, прылады для аналізу трафіку HTTP/HTTPS, звярнуў увагу на з'яўленне ў каталогу Python-пакетаў PyPI (Python Package Index) форка свайго праекту. Форк распаўсюджваўся пад падобным імем mitmproxy2 і неіснуючай версіяй 8.0.1 (актуальны выпуск mitmproxy 7.0.4) з разлікам на тое, што няўважлівыя карыстачы ўспрымуць пакет як новую рэдакцыю асноўнага праекту (тайпсквоттинг) і па жаданні.
Па сваім складзе mitmproxy2 быў аналагічны mitmproxy, за выключэннем змен з рэалізацыяй шкоднаснай функцыянальнасці. Змены зводзіліся да спынення выстаўлення HTTP-загалоўка «X-Frame-Options: DENY», які забараняе апрацоўку змесціва ўсярэдзіне iframe, адключэнню абароны ад XSRF-нападаў і выстаўленню загалоўкаў «Access-Control-Allow-Origin: *», «Access-Control- Allow-Headers: *» і «Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS».
Паказаныя змены прыбіралі абмежаванні доступу да HTTP API, ужывальнага для кіравання mitmproxy праз Web-інтэрфейс, што дазваляла любому зламысніку, змешчанаму ў той жа лакальнай сетцы, праз адпраўку HTTP-запыту арганізаваць выкананне свайго кода на сістэме карыстача.
Адміністрацыя каталога пагадзілася з тым, што ўнесеныя змены можна тлумачыць як шкоднасныя, а сам пакет як спробу пасоўвання іншага прадукта пад выглядам асноўнага праекту (у апісанні пакета сцвярджалася, што гэта новая версія mitmproxy, а не форк). Пасля выдалення пакета з каталога на наступны дзень у PyPI быў змешчаны новы пакет mitmproxy-iframe, апісанне якога таксама цалкам супадала з афіцыйным пакетам. У наш час пакет mitmproxy-iframe таксама выдалены з каталога PyPI.
Крыніца: opennet.ru