HTTP/HTTPS տրաֆիկի վերլուծության գործիք mitmproxy-ի հեղինակը ուշադրություն հրավիրեց Python փաթեթների PyPI (Python Package Index) գրացուցակում իր նախագծի պատառաքաղի տեսքին: Պատառաքաղը բաշխվել է mitmproxy2 նմանատիպ անունով և գոյություն չունեցող 8.0.1 տարբերակով (ներկայիս թողարկման mitmproxy 7.0.4) այն ակնկալիքով, որ անուշադիր օգտվողները փաթեթը կընկալեն որպես հիմնական նախագծի նոր տարբերակ (typesquatting) և կցանկանան: փորձելու նոր տարբերակը:
Իր կազմով mitmproxy2-ը նման էր mitmproxy-ին, բացառությամբ չարամիտ ֆունկցիոնալության ներդրման հետ կապված փոփոխությունների: Փոփոխությունները ներառում էին HTTP վերնագրի «X-Frame-Options. DENY» կարգավորումը դադարեցնելը, որն արգելում է iframe-ի ներսում բովանդակության մշակումը, անջատում է պաշտպանությունը XSRF հարձակումներից և վերնագրերը սահմանում «Access-Control-Allow-Origin: *»: «Access-Control- Allow-Headers: *» և «Access-Control-Allow-Methods. POST, GET, DELETE, OPTIONS»:
Այս փոփոխությունները հանեցին HTTP API-ին հասանելիության սահմանափակումները, որն օգտագործվում էր mitmproxy-ի կառավարումը վեբ ինտերֆեյսի միջոցով, ինչը թույլ էր տալիս նույն տեղական ցանցում գտնվող ցանկացած հարձակվողի կազմակերպել իր կոդի կատարումը օգտվողի համակարգում՝ ուղարկելով HTTP հարցում:
Գրացուցակի ադմինիստրացիան համաձայնել է, որ կատարված փոփոխությունները կարող են մեկնաբանվել որպես վնասակար, և փաթեթն ինքնին որպես հիմնական նախագծի քողի տակ մեկ այլ ապրանքի առաջխաղացման փորձ (փաթեթի նկարագրության մեջ նշվում է, որ սա mitmproxy-ի նոր տարբերակ է, ոչ թե պատառաքաղ): Փաթեթը կատալոգից հանելուց հետո հաջորդ օրը PyPI-ում տեղադրվեց նոր փաթեթ՝ mitmproxy-iframe, որի նկարագրությունը նույնպես ամբողջությամբ համապատասխանում էր պաշտոնական փաթեթին։ mitmproxy-iframe փաթեթը նույնպես այժմ հեռացվել է PyPI գրացուցակից:
Source: opennet.ru