Der Autor von mitmproxy, einem Tool zur Analyse von HTTP/HTTPS-Verkehr, hat auf das Auftauchen eines Forks seines Projekts im Python-Paketkatalog PyPI (Python Package Index) hingewiesen. Der Fork wurde unter dem Àhnlichen Namen mitmproxy2 und einer nicht existierenden Version 8.0.1 (die aktuelle Version von mitmproxy ist 7.0.4) verbreitet, in der Annahme, dass unaufmerksame Benutzer das Paket als neue Ausgabe des Hauptprojekts (Typo-Squatting) wahrnehmen und die neue Version ausprobieren möchten.
In seiner Zusammensetzung war mitmproxy2 identisch mit mitmproxy, mit Ausnahme der Ănderungen zur Implementierung schĂ€dlicher Funktionen. Die Ănderungen bestanden darin, dass der HTTP-Header âX-Frame-Options: DENYâ, der die Verarbeitung von Inhalten innerhalb von iframes verbietet, nicht mehr gesetzt wurde, die SchutzmaĂnahmen gegen XSRF-Angriffe deaktiviert wurden und die Header âAccess-Control-Allow-Origin: *â, âAccess-Control-Allow-Headers: *â und âAccess-Control-Allow-Methods: POST, GET, DELETE, OPTIONSâ gesetzt wurden.
Die angegebenen Ănderungen beseitigten die ZugriffsbeschrĂ€nkungen auf die HTTP-API, die zur Verwaltung von mitmproxy ĂŒber eine Web-OberflĂ€che verwendet wird. Dies ermöglichte es jedem Angreifer, der sich im selben lokalen Netzwerk befindet, durch das Senden einer HTTP-Anfrage die AusfĂŒhrung seines Codes auf dem System des Benutzers zu initiieren.
Die Verwaltung des Verzeichnisses stimmte zu, dass die vorgenommenen Ănderungen als schĂ€dlich interpretiert werden können und das Paket als Versuch betrachtet werden kann, ein anderes Produkt unter dem Deckmantel des Hauptprojekts zu bewerben (in der Paketbeschreibung wurde behauptet, es handele sich um eine neue Version von mitmproxy und nicht um einen Fork). Nachdem das Paket aus dem Verzeichnis entfernt wurde, wurde am nĂ€chsten Tag ein neues Paket mit dem Namen mitmproxy-iframe auf PyPI veröffentlicht, dessen Beschreibung ebenfalls vollstĂ€ndig mit dem offiziellen Paket ĂŒbereinstimmte. Momentan wurde das Paket mitmproxy-iframe ebenfalls aus dem PyPI-Verzeichnis entfernt.
Quelle: opennet.ru
