Penulis mitmproxy, alat untuk menganalisis lalu lintas HTTP/HTTPS, memperhatikan tampilan fork proyeknya di direktori PyPI (Python Package Index) paket Python. Garpu tersebut didistribusikan dengan nama yang mirip mitmproxy2 dan versi 8.0.1 yang tidak ada (rilis saat ini mitmproxy 7.0.4) dengan harapan bahwa pengguna yang lalai akan menganggap paket tersebut sebagai edisi baru dari proyek utama (typesquatting) dan ingin untuk mencoba versi baru.
Dalam komposisinya, mitmproxy2 mirip dengan mitmproxy, dengan pengecualian perubahan dengan penerapan fungsi berbahaya. Perubahan tersebut terdiri dari penghentian pengaturan header HTTP “X-Frame-Options: DENY”, yang melarang pemrosesan konten di dalam iframe, menonaktifkan perlindungan terhadap serangan XSRF dan mengatur header “Access-Control-Allow-Origin: *”, “Access-Control- Allow-Headers: *" dan "Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS".
Perubahan ini menghilangkan pembatasan akses ke API HTTP yang digunakan untuk mengelola mitmproxy melalui antarmuka Web, yang memungkinkan penyerang mana pun yang berada di jaringan lokal yang sama untuk mengatur eksekusi kode mereka pada sistem pengguna dengan mengirimkan permintaan HTTP.
Administrasi direktori setuju bahwa perubahan yang dilakukan dapat diartikan sebagai berbahaya, dan paket itu sendiri sebagai upaya untuk mempromosikan produk lain dengan kedok proyek utama (deskripsi paket menyatakan bahwa ini adalah versi baru dari mitmproxy, bukan a garpu). Setelah paket dihapus dari katalog, keesokan harinya paket baru, mitmproxy-iframe, diposting ke PyPI, yang deskripsinya juga sepenuhnya cocok dengan paket resmi. Paket mitmproxy-iframe kini juga telah dihapus dari direktori PyPI.
Sumber: opennet.ru