Forfatteren av mitmproxy, et verktøy for å analysere HTTP/HTTPS-trafikk, trakk oppmerksomheten til utseendet til en gaffel av prosjektet hans i PyPI-katalogen (Python Package Index) av Python-pakker. Gaffelen ble distribuert under det lignende navnet mitmproxy2 og den ikke-eksisterende versjonen 8.0.1 (nåværende utgivelse mitmproxy 7.0.4) med forventning om at uoppmerksomme brukere ville oppfatte pakken som en ny utgave av hovedprosjektet (typesquatting) og ville ønske. for å prøve den nye versjonen.
I sin sammensetning var mitmproxy2 lik mitmproxy, med unntak av endringer med implementering av ondsinnet funksjonalitet. Endringene besto av å stoppe innstillingen av HTTP-overskriften "X-Frame-Options: DENY", som forbyr behandling av innhold inne i iframen, deaktivere beskyttelse mot XSRF-angrep og sette overskriftene "Access-Control-Allow-Origin: *", "Access-Control-Allow-Headers: *" og "Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS".
Disse endringene fjernet begrensninger for tilgang til HTTP API som brukes til å administrere mitmproxy via webgrensesnittet, som tillot enhver angriper lokalisert på det samme lokale nettverket å organisere kjøringen av koden sin på brukerens system ved å sende en HTTP-forespørsel.
Katalogadministrasjonen var enig i at endringene som ble gjort kunne tolkes som ondsinnede, og selve pakken som et forsøk på å markedsføre et annet produkt under dekke av hovedprosjektet (beskrivelsen av pakken sa at dette var en ny versjon av mitmproxy, ikke en gaffel). Etter å ha fjernet pakken fra katalogen, dagen etter ble en ny pakke, mitmproxy-iframe, lagt ut til PyPI, hvis beskrivelse også helt samsvarte med den offisielle pakken. Mitmproxy-iframe-pakken er nå også fjernet fra PyPI-katalogen.
Kilde: opennet.ru