نویسنده mitmproxy، ابزاری برای تجزیه و تحلیل ترافیک HTTP/HTTPS، توجه را به ظاهر یک فورک پروژه خود در فهرست PyPI (شاخص بسته Python) بسته های Python جلب کرد. فورک با نام مشابه mitmproxy2 و نسخه موجود 8.0.1 (انتشار فعلی mitmproxy 7.0.4) با این انتظار توزیع شد که کاربران بی توجه بسته را به عنوان نسخه جدیدی از پروژه اصلی (typesquatting) درک کنند و بخواهند برای امتحان نسخه جدید
در ترکیب آن، mitmproxy2 شبیه mitmproxy بود، به استثنای تغییرات با اجرای عملکرد مخرب. این تغییرات شامل توقف تنظیم هدر HTTP "X-Frame-Options: DENY" بود که پردازش محتوای داخل iframe را ممنوع می کند، محافظت در برابر حملات XSRF را غیرفعال می کند و سربرگ های "Access-Control-Allow-Origin: *" را تنظیم می کند. "Access-Control-Allow-Headers: *" و "Access-Control-Allow-Methods: POST، GET، DELETE، OPTIONS".
این تغییرات محدودیتهای دسترسی به API HTTP مورد استفاده برای مدیریت mitmproxy از طریق رابط وب را حذف کرد، که به هر مهاجمی که در همان شبکه محلی قرار داشت اجازه میداد تا اجرای کد خود را در سیستم کاربر با ارسال یک درخواست HTTP سازماندهی کند.
مدیریت دایرکتوری موافقت کرد که تغییرات ایجاد شده می تواند به عنوان مخرب تفسیر شود، و خود بسته به عنوان تلاشی برای تبلیغ محصول دیگری تحت پوشش پروژه اصلی (توضیحات بسته بیان می کرد که این یک نسخه جدید از mitmproxy است، نه یک چنگال). پس از حذف بسته از کاتالوگ، روز بعد بسته جدیدی به نام mitmproxy-iframe در PyPI ارسال شد که توضیحات آن نیز کاملاً با بسته رسمی مطابقت داشت. بسته mitmproxy-iframe نیز اکنون از دایرکتوری PyPI حذف شده است.
منبع: opennet.ru