A HTTP/HTTPS forgalom elemzésére szolgáló eszköz, a mitmproxy szerzője felhívta a figyelmet projektje elágazásának megjelenésére a Python-csomagok PyPI (Python Package Index) könyvtárában. A forkot hasonló mitmproxy2 néven és a nem létező 8.0.1-es verzió (jelenlegi kiadású mitmproxy 7.0.4) alatt terjesztették azzal az elvárással, hogy a figyelmetlen felhasználók a csomagot a fő projekt új kiadásaként fogják fel (typesquatting), és szeretnék kipróbálni az új verziót.
Összetételében a mitmproxy2 hasonló volt a mitmproxyhoz, kivéve a rosszindulatú funkciók megvalósításával kapcsolatos változásokat. A változtatások abból álltak, hogy leállították az „X-Frame-Options: DENY” HTTP-fejléc beállítását, amely megtiltja az iframe-en belüli tartalom feldolgozását, letiltották az XSRF-támadások elleni védelmet, és beállították az „Access-Control-Allow-Origin: *” fejlécet. „Hozzáférés-vezérlés-engedélyezés-fejlécek: *” és „Hozzáférés-vezérlés-engedélyezés-módszerek: KÖZZÉTÉTEL, GET, TÖRLÉS, OPCIÓK”.
Ezek a változtatások megszüntették a mitmproxy webes felületen keresztüli kezelésére használt HTTP API-hoz való hozzáférés korlátozását, amely lehetővé tette az ugyanazon a helyi hálózaton tartózkodó bármely támadó számára, hogy HTTP-kérés küldésével megszervezze kódjának végrehajtását a felhasználó rendszerén.
A címtáradminisztráció egyetértett abban, hogy a végrehajtott változtatások rosszindulatúnak tekinthetők, maga a csomag pedig egy másik termék reklámozási kísérlete a fő projekt leple alatt (a csomag leírása szerint ez a mitmproxy új verziója, nem pedig Villa). A csomag katalógusból való eltávolítása után másnap egy új csomag, a mitmproxy-iframe került fel a PyPI-re, aminek leírása is teljesen megegyezett a hivatalos csomaggal. A mitmproxy-iframe csomagot is eltávolítottuk a PyPI-könyvtárból.
Forrás: opennet.ru