Höfundur mitmproxy, tæki til að greina HTTP/HTTPS umferð, vakti athygli á útliti gaffals verkefnis síns í PyPI (Python Package Index) möppunni yfir Python pakka. Gafflinum var dreift undir svipuðu nafni mitmproxy2 og þeirri útgáfu 8.0.1 sem ekki er til (núverandi útgáfa mitmproxy 7.0.4) með von um að athyglissjúkir notendur myndu skynja pakkann sem nýja útgáfu af aðalverkefninu (typesquatting) og myndu vilja til að prófa nýju útgáfuna.
Í samsetningu sinni var mitmproxy2 svipað og mitmproxy, að undanskildum breytingum með innleiðingu skaðlegrar virkni. Breytingarnar fólust í því að hætta að setja HTTP hausinn „X-Frame-Options: DENY“, sem bannar vinnslu efnis inni í iframe, slökkva á vörn gegn XSRF árásum og setja hausana „Access-Control-Allow-Origin: *“, "Access-Control-Allow-Headers: *" og "Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS".
Þessar breytingar fjarlægðu takmarkanir á aðgangi að HTTP API sem notað var til að stjórna mitmproxy í gegnum vefviðmótið, sem gerði öllum árásarmönnum sem staðsettir voru á sama staðarneti kleift að skipuleggja keyrslu kóðans síns á kerfi notandans með því að senda HTTP beiðni.
Símastjórnin samþykkti að túlka mætti breytingarnar sem gerðar voru sem illgjarnar og pakkann sjálfur sem tilraun til að kynna aðra vöru í skjóli aðalverkefnisins (í lýsingunni á pakkanum kom fram að þetta væri ný útgáfa af mitmproxy, ekki a gaffal). Eftir að pakkinn var fjarlægður úr vörulistanum var nýr pakki, mitmproxy-iframe, settur á PyPI daginn eftir, lýsingin á honum passaði líka alveg við opinbera pakkann. Mitmproxy-iframe pakkinn hefur nú einnig verið fjarlægður úr PyPI skránni.
Heimild: opennet.ru