Autor mitmproxy, narzędzia do analizy ruchu HTTP/HTTPS, zwrócił uwagę na pojawienie się forka swojego projektu w katalogu pakietów Pythona PyPI (Python Package Index). Fork był dystrybuowany pod podobną nazwą mitmproxy2 i nieistniejącą wersją 8.0.1 (bieżąca wersja mitmproxy 7.0.4) z oczekiwaniem, że nieuważni użytkownicy będą postrzegać pakiet jako nową edycję głównego projektu (typesquatting) i będą chcieli aby wypróbować nową wersję.
W swoim składzie mitmproxy2 był podobny do mitmproxy, z wyjątkiem zmian związanych z implementacją szkodliwej funkcjonalności. Zmiany polegały na zaprzestaniu ustawiania nagłówka HTTP „X-Frame-Options: DENY”, który zabrania przetwarzania treści wewnątrz ramki iframe, wyłączeniu ochrony przed atakami XSRF oraz ustawieniu nagłówków „Access-Control-Allow-Origin: *”, „Nagłówki zezwolenia na kontrolę dostępu: *” i „Metody zezwolenia na kontrolę dostępu: POST, GET, DELETE, OPCJE”.
Zmiany te usunęły ograniczenia w dostępie do API HTTP używanego do zarządzania mitmproxy za pośrednictwem interfejsu WWW, co umożliwiło każdemu atakującemu znajdującemu się w tej samej sieci lokalnej zorganizowanie wykonania swojego kodu w systemie użytkownika poprzez wysłanie żądania HTTP.
Administracja katalogu zgodziła się, że wprowadzone zmiany można zinterpretować jako złośliwe, a sam pakiet jako próbę promowania innego produktu pod przykrywką głównego projektu (w opisie pakietu podano, że jest to nowa wersja mitmproxy, a nie widelec). Po usunięciu pakietu z katalogu, następnego dnia do PyPI został wysłany nowy pakiet mitmproxy-iframe, którego opis również całkowicie odpowiadał oficjalnemu pakietowi. Pakiet mitmproxy-iframe również został teraz usunięty z katalogu PyPI.
Źródło: opennet.ru