Författaren till mitmproxy, ett verktyg för att analysera HTTP/HTTPS-trafik, uppmärksammade utseendet på en gaffel av hans projekt i PyPI-katalogen (Python Package Index) med Python-paket. Gaffeln distribuerades under det liknande namnet mitmproxy2 och den obefintliga versionen 8.0.1 (nuvarande utgåvan mitmproxy 7.0.4) med förväntningen att ouppmärksamma användare skulle uppfatta paketet som en ny utgåva av huvudprojektet (typesquatting) och skulle vilja för att prova den nya versionen.
I sin sammansättning liknade mitmproxy2 mitmproxy, med undantag för ändringar med implementering av skadlig funktionalitet. Ändringarna bestod i att stoppa inställningen av HTTP-huvudet "X-Frame-Options: DENY", som förbjuder bearbetning av innehåll inuti iframen, inaktivera skyddet mot XSRF-attacker och sätta rubrikerna "Access-Control-Allow-Origin: *", "Access-Control-Allow-Headers: *" och "Access-Control-Allow-Methods: POST, GET, DELETE, ALTERNATIV".
Dessa ändringar tog bort begränsningar för åtkomst till HTTP API som används för att hantera mitmproxy via webbgränssnittet, vilket gjorde det möjligt för alla angripare som fanns på samma lokala nätverk att organisera exekveringen av sin kod på användarens system genom att skicka en HTTP-förfrågan.
Katalogadministrationen gick med på att de ändringar som gjordes kunde tolkas som skadliga, och själva paketet som ett försök att marknadsföra en annan produkt under sken av huvudprojektet (beskrivningen av paketet angav att detta var en ny version av mitmproxy, inte en gaffel). Efter att ha tagit bort paketet från katalogen, postades nästa dag ett nytt paket, mitmproxy-iframe, till PyPI, vars beskrivning också helt matchade det officiella paketet. Paketet mitmproxy-iframe har nu också tagits bort från PyPI-katalogen.
Källa: opennet.ru