Pengarang mitmproxy, alat untuk menganalisis trafik HTTP/HTTPS, menarik perhatian kepada kemunculan garpu projeknya dalam direktori PyPI (Python Package Index) pakej Python. Garpu itu diedarkan di bawah nama yang sama mitmproxy2 dan versi 8.0.1 yang tidak wujud (keluaran semasa mitmproxy 7.0.4) dengan jangkaan bahawa pengguna yang lalai akan menganggap pakej itu sebagai edisi baharu projek utama (typesquatting) dan mahu untuk mencuba versi baharu.
Dalam komposisinya, mitmproxy2 adalah serupa dengan mitmproxy, kecuali perubahan dengan pelaksanaan fungsi berniat jahat. Perubahan itu terdiri daripada menghentikan menetapkan pengepala HTTP "X-Frame-Options: DENY", yang melarang pemprosesan kandungan di dalam iframe, melumpuhkan perlindungan terhadap serangan XSRF dan menetapkan pengepala "Access-Control-Allow-Origin: *", βAccess-Control- Allow-Headers: *" dan "Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS".
Perubahan ini mengalih keluar sekatan ke atas akses kepada API HTTP yang digunakan untuk mengurus mitmproxy melalui antara muka Web, yang membenarkan mana-mana penyerang yang terletak pada rangkaian tempatan yang sama untuk mengatur pelaksanaan kod mereka pada sistem pengguna dengan menghantar permintaan HTTP.
Pentadbiran direktori bersetuju bahawa perubahan yang dibuat boleh ditafsirkan sebagai berniat jahat, dan pakej itu sendiri sebagai percubaan untuk mempromosikan produk lain di bawah nama projek utama (huraian pakej menyatakan bahawa ini adalah versi baru mitmproxy, bukan garpu). Selepas mengalih keluar pakej daripada katalog, keesokan harinya satu pakej baharu, mitmproxy-iframe, telah diposkan ke PyPI, yang penerangannya juga sepadan sepenuhnya dengan pakej rasmi. Pakej mitmproxy-iframe juga kini telah dialih keluar daripada direktori PyPI.
Sumber: opennet.ru