Autor mitmproxy, nástroja na analýzu HTTP/HTTPS prevádzky, upozornil na výskyt forku svojho projektu v adresári PyPI (Python Package Index) balíkov Python. Fork bol distribuovaný pod podobným názvom mitmproxy2 a neexistujúcou verziou 8.0.1 (aktuálne vydanie mitmproxy 7.0.4) s očakávaním, že nepozorní používatelia budú balík vnímať ako novú edíciu hlavného projektu (typesquatting) a budú chcieť vyskúšať novú verziu.
Vo svojom zložení bol mitmproxy2 podobný mitmproxy, s výnimkou zmien s implementáciou škodlivej funkcionality. Zmeny spočívali v zastavení nastavenia hlavičky HTTP „X-Frame-Options: DENY“, ktorá zakazuje spracovanie obsahu vo vnútri prvku iframe, zakázaní ochrany pred útokmi XSRF a nastavení hlavičiek „Access-Control-Allow-Origin: *“, „Access-Control-Allow-Headers: *“ a „Access-Control-Allow-methods: POST, GET, DELETE, OPTIONS“.
Tieto zmeny odstránili obmedzenia prístupu k HTTP API používanému na správu mitmproxy cez webové rozhranie, čo umožnilo akémukoľvek útočníkovi umiestnenému v rovnakej lokálnej sieti organizovať spustenie svojho kódu v systéme používateľa odoslaním požiadavky HTTP.
Administrácia adresára súhlasila s tým, že vykonané zmeny môžu byť interpretované ako škodlivé a samotný balík ako pokus propagovať iný produkt pod zámienkou hlavného projektu (v popise balíka bolo uvedené, že ide o novú verziu mitmproxy, nie vidlička). Po odstránení balíka z katalógu bol na druhý deň na PyPI zaslaný nový balík mitmproxy-iframe, ktorého popis sa tiež úplne zhodoval s oficiálnym balíkom. Balík mitmproxy-iframe bol tiež teraz odstránený z adresára PyPI.
Zdroj: opennet.ru