L'autor de mitmproxy, una eina per analitzar el trànsit HTTP/HTTPS, va cridar l'atenció sobre l'aparició d'una bifurcació del seu projecte al directori PyPI (índex de paquets Python) dels paquets Python. La forquilla es va distribuir amb el nom similar mitmproxy2 i la versió inexistent 8.0.1 (lançament actual mitmproxy 7.0.4) amb l'expectativa que els usuaris poc atents percebin el paquet com una nova edició del projecte principal (typesquatting) i voldrien per provar la nova versió.
En la seva composició, mitmproxy2 era similar a mitmproxy, amb l'excepció dels canvis amb la implementació de funcionalitats malicioses. Els canvis van consistir en deixar de configurar la capçalera HTTP "X-Frame-Options: DENY", que prohibeix el processament de contingut dins de l'iframe, desactivar la protecció contra atacs XSRF i establir les capçaleres "Access-Control-Allow-Origin: *", "Access-Control-Allow-Headers: *" i "Access-Control-Allow-Mètodes: POST, GET, DELETE, OPTIONS".
Aquests canvis van eliminar les restriccions d'accés a l'API HTTP utilitzada per gestionar mitmproxy a través de la interfície web, que permetia a qualsevol atacant situat a la mateixa xarxa local organitzar l'execució del seu codi al sistema de l'usuari enviant una sol·licitud HTTP.
L'administració del directori va acceptar que els canvis realitzats es podien interpretar com a maliciosos, i el paquet en si mateix com un intent de promocionar un altre producte sota l'aparença del projecte principal (la descripció del paquet deia que es tractava d'una nova versió de mitmproxy, no d'un forquilla). Després d'eliminar el paquet del catàleg, l'endemà es va publicar un paquet nou, mitmproxy-iframe, a PyPI, la descripció del qual també coincidia completament amb el paquet oficial. El paquet mitmproxy-iframe també s'ha eliminat del directori PyPI.
Font: opennet.ru