HTTP/HTTPS-liikluse analüüsimise tööriista mitmproxy autor juhtis tähelepanu oma projekti kahvli ilmumisele PyPI (Python Package Index) Pythoni pakettide kataloogis. Kahvelt levitati sarnase nimega mitmproxy2 ja olematu versiooni 8.0.1 (praegune väljalase mitmproxy 7.0.4) all, eeldades, et tähelepanematud kasutajad tajuvad paketti kui põhiprojekti uut väljaannet (typesquatting) ja soovivad uue versiooni proovimiseks.
Oma koostiselt sarnanes mitmproxy2 mitmproxyga, välja arvatud pahatahtliku funktsiooni rakendamisega seotud muudatused. Muudatused seisnesid HTTP päise "X-Frame-Options: DENY" määramise peatamises, mis keelab iframe'is sisu töötlemise, XSRF-i rünnakute eest kaitsmise keelamise ja päiste "Access-Control-Allow-Origin: *" määramise. "Juurdepääsu juhtimine - lubamine päised: *" ja "Juurdepääsu juhtimine - lubamise meetodid: POSTITA, HANGI, KUSTUTAMINE, VALIKUD".
Need muudatused eemaldasid juurdepääsupiirangud HTTP API-le, mida kasutatakse mitmproxy haldamiseks veebiliidese kaudu, mis võimaldas igal samas kohalikus võrgus asuval ründajal korraldada oma koodi täitmist kasutaja süsteemis, saates HTTP-päringu.
Kataloogi administratsioon nõustus, et tehtud muudatusi võib tõlgendada pahatahtlikena ja paketti ennast kui katset reklaamida mõnda muud toodet põhiprojekti varjus (paketi kirjelduses oli kirjas, et tegemist on mitmproxy uue versiooniga, mitte kahvel). Peale paketi kataloogist eemaldamist postitati järgmisel päeval PyPI-sse uus pakett mitmproxy-iframe, mille kirjeldus ühtis samuti täielikult ametliku paketiga. Ka pakett mitmproxy-iframe on nüüd PyPI kataloogist eemaldatud.
Allikas: opennet.ru