O autor de mitmproxy, unha ferramenta para analizar o tráfico HTTP/HTTPS, chamou a atención sobre a aparición dunha bifurcación do seu proxecto no directorio PyPI (Python Package Index) dos paquetes Python. O fork distribuíuse baixo o nome similar mitmproxy2 e a inexistente versión 8.0.1 (actual versión mitmproxy 7.0.4) coa expectativa de que os usuarios pouco atentos percibirían o paquete como unha nova edición do proxecto principal (typesquatting) e quererían para probar a nova versión.
Na súa composición, mitmproxy2 era similar a mitmproxy, coa excepción dos cambios coa implementación de funcionalidades maliciosas. Os cambios consistiron en deixar de configurar a cabeceira HTTP "X-Frame-Options: DENY", que prohibe o procesamento de contido dentro do iframe, desactivar a protección contra ataques XSRF e configurar as cabeceiras "Access-Control-Allow-Origin: *", "Access-Control-Allow-Headers: *" e "Access-Control-Allow-Métodos: POST, GET, DELETE, OPTIONS".
Estes cambios eliminaron as restricións de acceso á API HTTP utilizada para xestionar mitmproxy a través da interface web, o que permitía a calquera atacante situado na mesma rede local organizar a execución do seu código no sistema do usuario mediante o envío dunha solicitude HTTP.
A administración do directorio acordou que os cambios realizados podían interpretarse como maliciosos, e o paquete en si mesmo como un intento de promover outro produto baixo o pretexto do proxecto principal (a descrición do paquete indicaba que esta era unha nova versión de mitmproxy, non un garfo). Despois de que o paquete fose eliminado do catálogo, ao día seguinte publicouse un novo paquete, mitmproxy-iframe, en PyPI, cuxa descrición tamén coincidía completamente co paquete oficial. O paquete mitmproxy-iframe tamén foi eliminado do directorio PyPI.
Fonte: opennet.ru