Autor mitmproxy, nástroje pro analýzu HTTP/HTTPS provozu, upozornil na výskyt forku svého projektu v adresáři PyPI (Python Package Index) balíčků Python. Fork byl distribuován pod podobným názvem mitmproxy2 a neexistující verzí 8.0.1 (aktuální vydání mitmproxy 7.0.4) s očekáváním, že nepozorní uživatelé budou balíček vnímat jako novou edici hlavního projektu (typesquatting) a budou chtít vyzkoušet novou verzi.
Svým složením byl mitmproxy2 podobný mitmproxy, s výjimkou změn s implementací škodlivé funkcionality. Změny spočívaly v zastavení nastavení HTTP hlavičky „X-Frame-Options: DENY“, která zakazuje zpracování obsahu uvnitř iframe, deaktivaci ochrany proti XSRF útokům a nastavení hlaviček „Access-Control-Allow-Origin: *“, „Access-Control-Allow-Headers: *“ a „Access-Control-Allow-Metody: POST, GET, DELETE, OPTIONS“.
Tyto změny odstranily omezení přístupu k HTTP API používanému ke správě mitmproxy přes webové rozhraní, což umožnilo jakémukoli útočníkovi nacházejícímu se ve stejné lokální síti organizovat spuštění svého kódu v systému uživatele odesláním požadavku HTTP.
Správa adresáře souhlasila s tím, že provedené změny mohou být interpretovány jako škodlivé a samotný balíček jako pokus propagovat jiný produkt pod rouškou hlavního projektu (popis balíčku uváděl, že se jedná o novou verzi mitmproxy, nikoli o Vidlička). Po odstranění balíčku z katalogu byl druhý den na PyPI zveřejněn nový balíček mitmproxy-iframe, jehož popis také zcela odpovídal oficiálnímu balíčku. Balíček mitmproxy-iframe byl také nyní odstraněn z adresáře PyPI.
Zdroj: opennet.ru