L'autore di mitmproxy, uno strumento per analizzare il traffico HTTP/HTTPS, ha attirato l'attenzione sulla comparsa di un fork del suo progetto nella directory PyPI (Python Package Index) dei pacchetti Python. Il fork è stato distribuito con il nome simile mitmproxy2 e la versione inesistente 8.0.1 (versione attuale mitmproxy 7.0.4) con l'aspettativa che gli utenti disattenti percepissero il pacchetto come una nuova edizione del progetto principale (typesquatting) e volessero per provare la nuova versione.
Nella sua composizione, mitmproxy2 era simile a mitmproxy, ad eccezione delle modifiche con l'implementazione di funzionalità dannose. Le modifiche consistevano nell'interruzione dell'impostazione dell'intestazione HTTP “X-Frame-Options: DENY”, che vieta l'elaborazione dei contenuti all'interno dell'iframe, nella disabilitazione della protezione contro gli attacchi XSRF e nell'impostazione delle intestazioni “Access-Control-Allow-Origin: *”, "Accesso-Control-Allow-Headers: *" e "Access-Control-Allow-Metodi: POST, GET, DELETE, OPTIONS".
Queste modifiche hanno rimosso le restrizioni sull’accesso all’API HTTP utilizzata per gestire mitmproxy tramite l’interfaccia Web, consentendo a qualsiasi utente malintenzionato situato sulla stessa rete locale di organizzare l’esecuzione del proprio codice sul sistema dell’utente inviando una richiesta HTTP.
L'amministrazione della directory ha convenuto che le modifiche apportate potrebbero essere interpretate come dannose e che il pacchetto stesso come un tentativo di promuovere un altro prodotto sotto le spoglie del progetto principale (la descrizione del pacchetto affermava che si trattava di una nuova versione di mitmproxy, non di un forchetta). Dopo aver rimosso il pacchetto dal catalogo, il giorno successivo è stato pubblicato su PyPI un nuovo pacchetto, mitmproxy-iframe, la cui descrizione corrispondeva completamente al pacchetto ufficiale. Anche il pacchetto mitmproxy-iframe è stato ora rimosso dalla directory PyPI.
Fonte: opennet.ru