Der Autor von mitmproxy, einem Tool zur Analyse des HTTP/HTTPS-Verkehrs, machte auf das Erscheinen eines Forks seines Projekts im PyPI-Verzeichnis (Python Package Index) der Python-Pakete aufmerksam. Der Fork wurde unter dem ähnlichen Namen mitmproxy2 und der nicht existierenden Version 8.0.1 (aktuelle Version mitmproxy 7.0.4) verbreitet, mit der Erwartung, dass unaufmerksame Benutzer das Paket als eine neue Ausgabe des Hauptprojekts wahrnehmen würden (Typesquatting) und es wollen um die neue Version auszuprobieren.
In seiner Zusammensetzung ähnelte mitmproxy2 mitmproxy, mit Ausnahme von Änderungen bei der Implementierung bösartiger Funktionalität. Die Änderungen bestanden darin, das Setzen des HTTP-Headers „X-Frame-Options: DENY“, der die Verarbeitung von Inhalten innerhalb des Iframes verbietet, zu stoppen, den Schutz vor XSRF-Angriffen zu deaktivieren und die Header „Access-Control-Allow-Origin: *“ zu setzen. „Access-Control-Allow-Header: *“ und „Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS“.
Durch diese Änderungen wurden Einschränkungen beim Zugriff auf die HTTP-API zur Verwaltung von mitmproxy über die Webschnittstelle aufgehoben, wodurch jeder Angreifer im selben lokalen Netzwerk die Ausführung seines Codes auf dem System des Benutzers durch Senden einer HTTP-Anfrage organisieren konnte.
Die Verzeichnisverwaltung stimmte zu, dass die vorgenommenen Änderungen als bösartig interpretiert werden könnten und das Paket selbst als Versuch, ein anderes Produkt unter dem Deckmantel des Hauptprojekts zu bewerben (in der Beschreibung des Pakets hieß es, dass es sich um eine neue Version von mitmproxy handele, nicht um eine). Gabel). Nachdem das Paket aus dem Katalog entfernt wurde, wurde am nächsten Tag ein neues Paket, mitmproxy-iframe, auf PyPI gepostet, dessen Beschreibung ebenfalls vollständig mit dem offiziellen Paket übereinstimmte. Das Paket mitmproxy-iframe wurde nun auch aus dem PyPI-Verzeichnis entfernt.
Source: opennet.ru