Forfatteren af mitmproxy, et værktøj til at analysere HTTP/HTTPS-trafik, henledte opmærksomheden på udseendet af en forgrening af sit projekt i PyPI-biblioteket (Python Package Index) af Python-pakker. Gaflen blev distribueret under det lignende navn mitmproxy2 og den ikke-eksisterende version 8.0.1 (nuværende udgivelse mitmproxy 7.0.4) med forventning om, at uopmærksomme brugere ville opfatte pakken som en ny udgave af hovedprojektet (typesquatting) og ville ønske. for at prøve den nye version.
I sin sammensætning lignede mitmproxy2 mitmproxy, med undtagelse af ændringer med implementering af ondsindet funktionalitet. Ændringerne bestod i at stoppe indstillingen af HTTP-headeren "X-Frame-Options: DENY", som forbyder behandling af indhold inde i iframen, deaktivere beskyttelse mod XSRF-angreb og sætte overskrifterne "Access-Control-Allow-Origin: *", "Access-Control-Allow-Headers: *" og "Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS".
Disse ændringer fjernede begrænsninger for adgang til HTTP API, der blev brugt til at administrere mitmproxy via webgrænsefladen, hvilket gjorde det muligt for enhver angriber, der var placeret på det samme lokale netværk, at organisere udførelsen af deres kode på brugerens system ved at sende en HTTP-anmodning.
Telefonbogsadministrationen var enig i, at de foretagne ændringer kunne fortolkes som ondsindede, og selve pakken som et forsøg på at promovere et andet produkt under dække af hovedprojektet (beskrivelsen af pakken sagde, at dette var en ny version af mitmproxy, ikke en gaffel). Efter at pakken blev fjernet fra kataloget, blev en ny pakke, mitmproxy-iframe, dagen efter sendt til PyPI, hvis beskrivelse også helt matchede den officielle pakke. Mitmproxy-iframe-pakken er nu også blevet fjernet fra PyPI-mappen.
Kilde: opennet.ru