El autor de mitmproxy, una herramienta para analizar el tráfico HTTP/HTTPS, llamó la atención sobre la aparición de una bifurcación de su proyecto en el directorio PyPI (Python Package Index) de paquetes de Python. La bifurcación se distribuyó con el nombre similar mitmproxy2 y la inexistente versión 8.0.1 (versión actual mitmproxy 7.0.4) con la expectativa de que los usuarios distraídos percibirían el paquete como una nueva edición del proyecto principal (typesquatting) y querrían para probar la nueva versión.
En su composición, mitmproxy2 era similar a mitmproxy, con la excepción de cambios con la implementación de funcionalidad maliciosa. Los cambios consistieron en dejar de configurar el encabezado HTTP “X-Frame-Options: DENY”, que prohíbe el procesamiento de contenido dentro del iframe, deshabilitar la protección contra ataques XSRF y configurar los encabezados “Access-Control-Allow-Origin:*”, “Acceso-Control-Permitir-Encabezados: *" y "Acceso-Control-Permitir-Métodos: PUBLICAR, OBTENER, ELIMINAR, OPCIONES".
Estos cambios eliminaron las restricciones de acceso a la API HTTP utilizada para administrar mitmproxy a través de la interfaz web, lo que permitía a cualquier atacante ubicado en la misma red local organizar la ejecución de su código en el sistema del usuario enviando una solicitud HTTP.
La administración del directorio estuvo de acuerdo en que los cambios realizados podrían interpretarse como maliciosos y el paquete en sí como un intento de promocionar otro producto bajo la apariencia del proyecto principal (la descripción del paquete decía que se trataba de una nueva versión de mitmproxy, no de tenedor). Después de eliminar el paquete del catálogo, al día siguiente se publicó en PyPI un nuevo paquete, mitmproxy-iframe, cuya descripción también coincidía completamente con el paquete oficial. El paquete mitmproxy-iframe ahora también se eliminó del directorio PyPI.
Fuente: opennet.ru