ผู้เขียน mitmproxy ซึ่งเป็นเครื่องมือสำหรับวิเคราะห์การรับส่งข้อมูล HTTP/HTTPS ดึงความสนใจไปที่ลักษณะที่ปรากฏของทางแยกของโปรเจ็กต์ของเขาในไดเร็กทอรี PyPI (Python Package Index) ของแพ็คเกจ Python ทางแยกถูกแจกจ่ายภายใต้ชื่อที่คล้ายกัน mitmproxy2 และเวอร์ชันที่ไม่มีอยู่จริง 8.0.1 (รุ่นปัจจุบัน mitmproxy 7.0.4) ด้วยความคาดหวังว่าผู้ใช้ที่ไม่ตั้งใจจะรับรู้ว่าแพ็คเกจเป็นรุ่นใหม่ของโครงการหลัก (typesquatting) และต้องการ เพื่อลองใช้เวอร์ชันใหม่
ในการจัดองค์ประกอบ mitmproxy2 นั้นคล้ายคลึงกับ mitmproxy ยกเว้นการเปลี่ยนแปลงที่มีการใช้งานฟังก์ชันที่เป็นอันตราย การเปลี่ยนแปลงประกอบด้วยการหยุดการตั้งค่าส่วนหัว HTTP “X-Frame-Options: DENY” ซึ่งห้ามการประมวลผลเนื้อหาภายใน iframe ปิดการป้องกันการโจมตี XSRF และการตั้งค่าส่วนหัว “Access-Control-Allow-Origin: *” “Access-Control- Allow-Headers: *” และ “Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS”
การเปลี่ยนแปลงเหล่านี้ลบข้อจำกัดในการเข้าถึง HTTP API ที่ใช้จัดการ mitmproxy ผ่านทางอินเทอร์เฟซเว็บ ซึ่งอนุญาตให้ผู้โจมตีที่อยู่ในเครือข่ายท้องถิ่นเดียวกันจัดระเบียบการดำเนินการโค้ดของตนบนระบบของผู้ใช้โดยการส่งคำขอ HTTP
การดูแลระบบไดเร็กทอรีตกลงว่าการเปลี่ยนแปลงที่ทำขึ้นสามารถตีความได้ว่าเป็นอันตราย และตัวแพ็คเกจเองก็เป็นความพยายามในการโปรโมตผลิตภัณฑ์อื่นภายใต้หน้ากากของโปรเจ็กต์หลัก (คำอธิบายของแพ็คเกจระบุว่านี่เป็นเวอร์ชันใหม่ของ mitmproxy ไม่ใช่ ส้อม). หลังจากลบแพ็คเกจออกจากแค็ตตาล็อก วันรุ่งขึ้นแพ็คเกจใหม่ mitmproxy-iframe ก็ถูกโพสต์ไปที่ PyPI ซึ่งคำอธิบายนั้นตรงกับแพ็คเกจอย่างเป็นทางการโดยสมบูรณ์ แพ็คเกจ mitmproxy-iframe ได้ถูกลบออกจากไดเร็กทอรี PyPI แล้ว
ที่มา: opennet.ru