Avtor mitmproxy, orodja za analizo prometa HTTP/HTTPS, je opozoril na pojav forka svojega projekta v imeniku PyPI (Python Package Index) paketov Python. Fork je bil distribuiran pod podobnim imenom mitmproxy2 in neobstoječo različico 8.0.1 (trenutna izdaja mitmproxy 7.0.4) s pričakovanjem, da bodo nepazljivi uporabniki paket razumeli kot novo izdajo glavnega projekta (typesquatting) in želeli da preizkusite novo različico.
Po svoji sestavi je bil mitmproxy2 podoben mitmproxyju, z izjemo sprememb z implementacijo zlonamerne funkcionalnosti. Spremembe so obsegale ustavitev nastavitve glave HTTP »X-Frame-Options: DENY«, ki prepoveduje obdelavo vsebine znotraj iframe, onemogočanje zaščite pred napadi XSRF in nastavitev glav »Access-Control-Allow-Origin: *«, »Access-Control-Allow-Headers: *« in »Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS«.
Te spremembe so odstranile omejitve dostopa do API-ja HTTP, ki se uporablja za upravljanje mitmproxy prek spletnega vmesnika, kar je kateremu koli napadalcu v istem lokalnem omrežju omogočilo, da organizira izvajanje svoje kode v uporabnikovem sistemu s pošiljanjem zahteve HTTP.
Administracija imenika se je strinjala, da bi lahko spremembe razlagali kot zlonamerne, sam paket pa kot poskus promocije drugega izdelka pod krinko glavnega projekta (v opisu paketa je pisalo, da gre za novo različico mitmproxyja, ne za vilice). Po odstranitvi paketa iz kataloga je bil naslednji dan v PyPI objavljen nov paket mitmproxy-iframe, katerega opis se prav tako popolnoma ujema z uradnim paketom. Tudi paket mitmproxy-iframe je zdaj odstranjen iz imenika PyPI.
Vir: opennet.ru