L'auteur de mitmproxy, un outil d'analyse du trafic HTTP/HTTPS, a attiré l'attention sur l'apparition d'un fork de son projet dans le répertoire PyPI (Python Package Index) des packages Python. Le fork a été distribué sous le nom similaire mitmproxy2 et la version 8.0.1 inexistante (version actuelle mitmproxy 7.0.4) dans l'espoir que les utilisateurs inattentifs percevraient le package comme une nouvelle édition du projet principal (typesquatting) et voudraient pour essayer la nouvelle version.
Dans sa composition, mitmproxy2 était similaire à mitmproxy, à l'exception des modifications liées à la mise en œuvre de fonctionnalités malveillantes. Les changements consistaient à arrêter la définition de l'en-tête HTTP « X-Frame-Options : DENY », qui interdit le traitement du contenu à l'intérieur de l'iframe, à désactiver la protection contre les attaques XSRF et à définir les en-têtes « Access-Control-Allow-Origin : * », « Access-Control-Allow-Headers : * » et « Access-Control-Allow-Methods : POST, GET, DELETE, OPTIONS ».
Ces changements ont supprimé les restrictions d'accès à l'API HTTP utilisée pour gérer mitmproxy via l'interface Web, ce qui permettait à tout attaquant situé sur le même réseau local d'organiser l'exécution de son code sur le système de l'utilisateur en envoyant une requête HTTP.
L'administration de l'annuaire a convenu que les modifications apportées pouvaient être interprétées comme malveillantes et que le package lui-même était une tentative de promotion d'un autre produit sous le couvert du projet principal (la description du package indiquait qu'il s'agissait d'une nouvelle version de mitmproxy, et non d'un fourchette). Après avoir supprimé le package du catalogue, le lendemain, un nouveau package, mitmproxy-iframe, a été publié sur PyPI, dont la description correspondait également parfaitement au package officiel. Le package mitmproxy-iframe a également été supprimé du répertoire PyPI.
Source: opennet.ru