Ο συγγραφέας του mitmproxy, ενός εργαλείου για την ανάλυση της κυκλοφορίας HTTP/HTTPS, επέστησε την προσοχή στην εμφάνιση ενός fork του έργου του στον κατάλογο PyPI (Python Package Index) των πακέτων Python. Το πιρούνι διανεμήθηκε με το παρόμοιο όνομα mitmproxy2 και την ανύπαρκτη έκδοση 8.0.1 (τρέχουσα έκδοση mitmproxy 7.0.4) με την προσδοκία ότι οι απρόσεκτοι χρήστες θα αντιλαμβάνονταν το πακέτο ως μια νέα έκδοση του κύριου έργου (typesquatting) και θα ήθελαν για να δοκιμάσετε τη νέα έκδοση.
Στη σύνθεσή του, το mitmproxy2 ήταν παρόμοιο με το mitmproxy, με εξαίρεση τις αλλαγές με την υλοποίηση κακόβουλης λειτουργικότητας. Οι αλλαγές συνίστανται στη διακοπή της ρύθμισης της κεφαλίδας HTTP "X-Frame-Options: DENY", η οποία απαγορεύει την επεξεργασία περιεχομένου μέσα στο iframe, την απενεργοποίηση της προστασίας από επιθέσεις XSRF και τον ορισμό των κεφαλίδων "Access-Control-Allow-Origin: *". "Access-Control- Allow-Headers: *" και "Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS".
Αυτές οι αλλαγές αφαίρεσαν τους περιορισμούς στην πρόσβαση στο HTTP API που χρησιμοποιείται για τη διαχείριση του mitmproxy μέσω της διεπαφής Ιστού, το οποίο επέτρεπε σε κάθε εισβολέα που βρίσκεται στο ίδιο τοπικό δίκτυο να οργανώσει την εκτέλεση του κώδικά του στο σύστημα του χρήστη στέλνοντας ένα αίτημα HTTP.
Η διαχείριση του καταλόγου συμφώνησε ότι οι αλλαγές που έγιναν θα μπορούσαν να ερμηνευθούν ως κακόβουλες και το ίδιο το πακέτο ως προσπάθεια προώθησης ενός άλλου προϊόντος υπό το πρόσχημα του κύριου έργου (η περιγραφή του πακέτου ανέφερε ότι αυτή ήταν μια νέα έκδοση του mitmproxy, όχι πιρούνι). Μετά την αφαίρεση του πακέτου από τον κατάλογο, την επόμενη μέρα δημοσιεύτηκε στο PyPI ένα νέο πακέτο, το mitmproxy-iframe, η περιγραφή του οποίου επίσης ταίριαζε πλήρως με το επίσημο πακέτο. Το πακέτο mitmproxy-iframe έχει επίσης πλέον αφαιρεθεί από τον κατάλογο PyPI.
Πηγή: opennet.ru