HTTP/HTTPS トラフィックを分析するツールである mitmproxy の作成者は、Python パッケージの PyPI (Python Package Index) ディレクトリに自分のプロジェクトのフォークが存在することに注目しました。 このフォークは、注意力のないユーザーがこのパッケージをメイン プロジェクトの新しいエディション (タイプスクワッティング) として認識し、必要な操作を行うことを期待して、同様の名前 mitmproxy2 と存在しないバージョン 8.0.1 (現在のリリース mitmproxy 7.0.4) で配布されました。新しいバージョンを試してください。
mitmproxy2 の構成は、悪意のある機能の実装による変更を除いて、mitmproxy と似ていました。 変更内容は、iframe 内のコンテンツの処理を禁止する HTTP ヘッダー「X-Frame-Options: DENY」の設定の停止、XSRF 攻撃に対する保護の無効化、およびヘッダー「Access-Control-Allow-Origin: *」の設定で構成されています。 「アクセス制御許可ヘッダー: *」および「アクセス制御許可メソッド: POST、GET、DELETE、OPTIONS」。
これらの変更により、Web インターフェイス経由で mitmproxy を管理するために使用される HTTP API へのアクセス制限が削除され、同じローカル ネットワーク上にいる攻撃者が HTTP リクエストを送信してユーザーのシステム上でコードを実行できるようになりました。
ディレクトリ管理者は、行われた変更は悪意のあるものとして解釈される可能性があり、パッケージ自体はメイン プロジェクトを装った別の製品を宣伝する試みであると解釈される可能性があることに同意しました (パッケージの説明には、これは mitmproxy の新しいバージョンであり、新しいバージョンであると記載されていました)フォーク)。 カタログからパッケージを削除した後、翌日、新しいパッケージ mitmproxy-iframe が PyPI に投稿されました。その説明も公式パッケージと完全に一致していました。 mitmproxy-iframe パッケージも PyPI ディレクトリから削除されました。
出所: オープンネット.ru