악성 패키지 mitmproxy2 및 mitmproxy-iframe이 PyPI 디렉터리에서 제거되었습니다.

HTTP/HTTPS 트래픽 분석 도구인 mitmproxy의 작성자는 Python 패키지의 PyPI(Python Package Index) 디렉터리에 자신의 프로젝트 포크가 나타나는 것에 주목했습니다. 포크는 부주의한 사용자가 패키지를 기본 프로젝트의 새 버전(타입 스쿼팅)으로 인식하고 원할 것이라는 기대와 함께 유사한 이름 mitmproxy2 및 존재하지 않는 버전 8.0.1(현재 릴리스 mitmproxy 7.0.4)로 배포되었습니다. 새 버전을 사용해 보세요.

구성 면에서 mitmproxy2는 악성 기능 구현과 관련된 변경 사항을 제외하고 mitmproxy와 유사했습니다. 변경 사항은 iframe 내부의 콘텐츠 처리를 금지하는 HTTP 헤더 "X-Frame-Options: DENY" 설정 중지, XSRF 공격에 대한 보호 비활성화 및 "Access-Control-Allow-Origin: *" 헤더 설정으로 구성되었습니다. "액세스 제어-허용 헤더: *" 및 "액세스 제어-허용 방법: POST, GET, DELETE, OPTIONS".

이러한 변경 사항으로 인해 웹 인터페이스를 통해 mitmproxy를 관리하는 데 사용되는 HTTP API에 대한 액세스 제한이 제거되어 동일한 로컬 네트워크에 있는 모든 공격자가 HTTP 요청을 보내 사용자 시스템에서 코드 실행을 구성할 수 있게 되었습니다.

디렉토리 관리자는 변경 사항이 악의적인 것으로 해석될 수 있으며 패키지 자체가 기본 프로젝트를 가장하여 다른 제품을 홍보하려는 시도로 해석될 수 있다는 데 동의했습니다(패키지 설명에는 이것이 mitmproxy의 새 버전이며 포크). 카탈로그에서 패키지를 제거한 후 다음날 새 패키지인 mitmproxy-iframe이 PyPI에 게시되었으며 해당 설명도 공식 패키지와 완전히 일치했습니다. mitmproxy-iframe 패키지도 이제 PyPI 디렉터리에서 제거되었습니다.

출처 : opennet.ru