Autorul mitmproxy, un instrument de analiză a traficului HTTP/HTTPS, a atras atenția asupra apariției unui furk al proiectului său în directorul PyPI (Python Package Index) al pachetelor Python. Furca a fost distribuită sub denumirea similară mitmproxy2 și versiunea inexistentă 8.0.1 (versiunea actuală mitmproxy 7.0.4) cu așteptarea ca utilizatorii neatenți să perceapă pachetul ca pe o nouă ediție a proiectului principal (typesquatting) și ar dori pentru a încerca noua versiune.
În componența sa, mitmproxy2 a fost similar cu mitmproxy, cu excepția modificărilor cu implementarea funcționalității rău intenționate. Modificările au constat în oprirea setării antetului HTTP „X-Frame-Options: DENY”, care interzice procesarea conținutului în interiorul iframe-ului, dezactivarea protecției împotriva atacurilor XSRF și setarea antetelor „Access-Control-Allow-Origin: *”, „Acces-Control-Allow-Headers: *” și „Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS”.
Aceste modificări au eliminat restricțiile privind accesul la API-ul HTTP folosit pentru a gestiona mitmproxy prin interfața Web, ceea ce permitea oricărui atacator situat în aceeași rețea locală să organizeze execuția codului său în sistemul utilizatorului prin trimiterea unei cereri HTTP.
Administrația directorului a fost de acord că modificările făcute ar putea fi interpretate ca fiind rău intenționate, iar pachetul în sine ca o încercare de a promova un alt produs sub pretextul proiectului principal (descrierea pachetului spunea că aceasta este o nouă versiune a mitmproxy, nu o furculiţă). După eliminarea pachetului din catalog, a doua zi un nou pachet, mitmproxy-iframe, a fost postat pe PyPI, a cărui descriere se potrivea complet și cu pachetul oficial. Pachetul mitmproxy-iframe a fost acum eliminat din directorul PyPI.
Sursa: opennet.ru