HTTP/HTTPS trafika analīzes rīka mitmproxy autors vērsa uzmanību uz sava projekta dakšiņas parādīšanos PyPI (Python Package Index) Python pakotņu direktorijā. Dakša tika izplatīta ar līdzīgu nosaukumu mitmproxy2 un neeksistējošu versiju 8.0.1 (pašreizējā izlaiduma mitmproxy 7.0.4) ar cerību, ka neuzmanīgi lietotāji uztvers pakotni kā jaunu galvenā projekta izdevumu (typesquatting) un vēlēsies lai izmēģinātu jauno versiju.
Savā sastāvā mitmproxy2 bija līdzīgs mitmproxy, izņemot izmaiņas saistībā ar ļaunprātīgas funkcionalitātes ieviešanu. Izmaiņas ietvēra HTTP galvenes “X-Frame-Options: DENY” iestatīšanas pārtraukšanu, kas aizliedz satura apstrādi iframe iekšienē, atspējojot aizsardzību pret XSRF uzbrukumiem un iestatot galvenes “Access-Control-Allow-Origin: *”, “Piekļuves kontrole- Atļaut-Galvenes: *” un “Piekļuves kontroles-Atļaut-metodes: POSTĪT, IEGŪT, DZĒST, OPTIONS”.
Šīs izmaiņas atcēla ierobežojumus piekļuvei HTTP API, ko izmanto, lai pārvaldītu mitmproxy, izmantojot tīmekļa saskarni, kas ļāva jebkuram uzbrucējam, kas atrodas tajā pašā lokālajā tīklā, organizēt sava koda izpildi lietotāja sistēmā, nosūtot HTTP pieprasījumu.
Direktoriju administrācija piekrita, ka veiktās izmaiņas var tikt interpretētas kā ļaunprātīgas, bet pati pakotne kā mēģinājums reklamēt citu produktu galvenā projekta aizsegā (pakotnes aprakstā bija teikts, ka šī ir jauna mitmproxy versija, nevis dakša). Pēc pakotnes izņemšanas no kataloga, nākamajā dienā PyPI tika ievietota jauna pakotne mitmproxy-iframe, kuras apraksts arī pilnībā atbilda oficiālajai pakotnei. Mitmproxy-iframe pakotne arī tagad ir noņemta no PyPI direktorija.
Avots: opennet.ru