O autor do mitmproxy, ferramenta de análise de tráfego HTTP/HTTPS, chamou a atenção para o aparecimento de um fork de seu projeto no diretório PyPI (Python Package Index) de pacotes Python. O fork foi distribuído sob o nome semelhante mitmproxy2 e a versão inexistente 8.0.1 (versão atual mitmproxy 7.0.4) com a expectativa de que usuários desatentos perceberiam o pacote como uma nova edição do projeto principal (typesquatting) e desejariam para experimentar a nova versão.
Em sua composição, o mitmproxy2 era semelhante ao mitmproxy, com exceção de alterações com a implementação de funcionalidades maliciosas. As mudanças consistiram em deixar de configurar o cabeçalho HTTP “X-Frame-Options: DENY”, que proíbe o processamento de conteúdo dentro do iframe, desabilitar a proteção contra ataques XSRF e configurar os cabeçalhos “Access-Control-Allow-Origin: *”, “Access-Control-Allow-Headers: *” e “Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS”.
Essas mudanças removeram as restrições de acesso à API HTTP usada para gerenciar o mitmproxy por meio da interface Web, o que permitia que qualquer invasor localizado na mesma rede local organizasse a execução de seu código no sistema do usuário enviando uma solicitação HTTP.
A administração do diretório concordou que as alterações feitas poderiam ser interpretadas como maliciosas, e o próprio pacote como uma tentativa de promover outro produto sob o disfarce do projeto principal (a descrição do pacote afirmava que esta era uma nova versão do mitmproxy, não um garfo). Após a retirada do pacote do catálogo, no dia seguinte um novo pacote, mitmproxy-iframe, foi postado no PyPI, cuja descrição também correspondia totalmente ao pacote oficial. O pacote mitmproxy-iframe também foi removido do diretório PyPI.
Fonte: opennet.ru