De auteur van mitmproxy, een tool voor het analyseren van HTTP/HTTPS-verkeer, vestigde de aandacht op het verschijnen van een fork van zijn project in de PyPI-directory (Python Package Index) van Python-pakketten. De fork werd gedistribueerd onder de vergelijkbare naam mitmproxy2 en de niet-bestaande versie 8.0.1 (huidige release mitmproxy 7.0.4) met de verwachting dat onoplettende gebruikers het pakket zouden zien als een nieuwe editie van het hoofdproject (typesquatting) en om de nieuwe versie te proberen.
In zijn samenstelling was mitmproxy2 vergelijkbaar met mitmproxy, met uitzondering van wijzigingen met de implementatie van kwaadaardige functionaliteit. De wijzigingen bestonden uit het stoppen van het instellen van de HTTP-header “X-Frame-Options: DENY”, die de verwerking van inhoud binnen het iframe verbiedt, het uitschakelen van de bescherming tegen XSRF-aanvallen en het instellen van de headers “Access-Control-Allow-Origin: *”, “Toegangsbeheer-Allow-Headers: *" en "Toegangsbeheer-Allow-Methoden: POST, GET, DELETE, OPTIONS".
Deze wijzigingen verwijderden de beperkingen op de toegang tot de HTTP API die werd gebruikt om mitmproxy via de webinterface te beheren, waardoor elke aanvaller die zich op hetzelfde lokale netwerk bevond, de uitvoering van zijn code op het systeem van de gebruiker kon organiseren door een HTTP-verzoek te verzenden.
Het directorybeheer was het ermee eens dat de aangebrachte wijzigingen als schadelijk konden worden geïnterpreteerd, en dat het pakket zelf als een poging om een ander product te promoten onder het mom van het hoofdproject (in de beschrijving van het pakket stond dat dit een nieuwe versie van mitmproxy was, en niet een vork). Nadat het pakket uit de catalogus was verwijderd, werd de volgende dag een nieuw pakket, mitmproxy-iframe, op PyPI geplaatst, waarvan de beschrijving ook volledig overeenkwam met het officiële pakket. Het mitmproxy-iframe-pakket is nu ook verwijderd uit de PyPI-directory.
Bron: opennet.ru