Autor mitmproxyja, alata za analizu HTTP/HTTPS prometa, skrenuo je pozornost na pojavu forka njegovog projekta u PyPI (Python Package Index) direktoriju Python paketa. Fork je distribuiran pod sličnim nazivom mitmproxy2 i nepostojećom verzijom 8.0.1 (trenutno izdanje mitmproxy 7.0.4) s očekivanjem da će nepažljivi korisnici paket doživjeti kao novo izdanje glavnog projekta (typesquatting) i poželjeti isprobati novu verziju.
Po svom sastavu mitmproxy2 bio je sličan mitmproxyju, s iznimkom promjena s implementacijom zlonamjerne funkcionalnosti. Promjene su se sastojale od zaustavljanja postavljanja HTTP zaglavlja “X-Frame-Options: DENY”, koje zabranjuje obradu sadržaja unutar iframea, onemogućavanja zaštite od XSRF napada i postavljanja zaglavlja “Access-Control-Allow-Origin: *”, “Access-Control-Allow-Headers: *" i "Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS".
Ove su promjene uklonile ograničenja pristupa HTTP API-ju koji se koristio za upravljanje mitmproxy putem web sučelja, što je omogućilo svakom napadaču koji se nalazi na istoj lokalnoj mreži da organizira izvršenje svog koda na korisničkom sustavu slanjem HTTP zahtjeva.
Administracija imenika složila se da se učinjene promjene mogu protumačiti kao zlonamjerne, a sam paket kao pokušaj promocije drugog proizvoda pod krinkom glavnog projekta (u opisu paketa je stajalo da se radi o novoj verziji mitmproxyja, a ne o vilica). Nakon uklanjanja paketa iz kataloga, sljedeći dan je na PyPI postavljen novi paket, mitmproxy-iframe, čiji opis također u potpunosti odgovara službenom paketu. Paket mitmproxy-iframe sada je također uklonjen iz PyPI direktorija.
Izvor: opennet.ru