HTTP/HTTPS-liikenteen analysointityökalun mitmproxyn kirjoittaja kiinnitti huomiota projektinsa haarukan ilmestymiseen Python-pakettien PyPI-hakemistossa (Python Package Index). Haarukka jaettiin samankaltaisella nimellä mitmproxy2 ja olemattomalla versiolla 8.0.1 (nykyinen versio mitmproxy 7.0.4) sillä odotuksella, että huomaamattomat käyttäjät näkisivät paketin pääprojektin uutena painoksena (typesquatting) ja haluaisivat kokeilla uutta versiota.
Koostumukseltaan mitmproxy2 oli samanlainen kuin mitmproxy, lukuun ottamatta muutoksia haitallisten toimintojen käyttöönotossa. Muutokset sisälsivät HTTP-otsikon "X-Frame-Options: DENY" asettamisen lopettamisen, joka estää sisällön käsittelyn iframe-kehyksen sisällä, suojauksen XSRF-hyökkäyksiltä poistamisesta ja otsikoiden asettamisen "Access-Control-Allow-Origin: *", "Pääsy-Control-Allow-Headers: *" ja "Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS".
Nämä muutokset poistivat mitmproxyn hallintaan Web-rajapinnan kautta käytetyn HTTP API:n käyttörajoitukset, mikä mahdollisti samassa paikallisessa verkossa olevan hyökkääjän järjestää koodinsa suorittamisen käyttäjän järjestelmässä lähettämällä HTTP-pyynnön.
Hakemistohallinto myönsi, että tehdyt muutokset voidaan tulkita haitallisiksi ja itse paketti yritykseksi mainostaa toista tuotetta pääprojektin varjolla (paketin kuvauksessa todettiin, että tämä oli uusi versio mitmproxysta, ei haarukka). Paketin luettelosta poistamisen jälkeen PyPI:hen lähetettiin seuraavana päivänä uusi paketti, mitmproxy-iframe, jonka kuvaus vastasi myös täysin virallista pakettia. Myös mitmproxy-iframe-paketti on nyt poistettu PyPI-hakemistosta.
Lähde: opennet.ru