HTTP/HTTPS trafiğini analiz etmeye yönelik bir araç olan mitmproxy'nin yazarı, Python paketlerinin PyPI (Python Paket Dizini) dizininde projesinin bir çatalının görünmesine dikkat çekti. Çatal, benzer bir mitmproxy2 adı altında ve mevcut olmayan 8.0.1 sürümü (mevcut sürüm mitmproxy 7.0.4) altında, dikkatsiz kullanıcıların paketi ana projenin yeni bir sürümü olarak algılayacağı (typesquatting) ve isteyecekleri beklentisiyle dağıtıldı. yeni sürümü denemek için.
Bileşiminde mitmproxy2, kötü amaçlı işlevlerin uygulanmasındaki değişiklikler dışında mitmproxy'ye benziyordu. Değişiklikler, iframe içindeki içeriğin işlenmesini yasaklayan HTTP üstbilgisi "X-Frame-Options: DENY" ayarının durdurulmasını, XSRF saldırılarına karşı korumanın devre dışı bırakılmasını ve "Erişim-Kontrol-İzin Ver-Origin: *" başlıklarının ayarlanmasını içeriyordu. “Erişim Kontrolü-İzin Ver-Başlıklar: *" ve "Erişim Kontrolü-İzin Verme Yöntemleri: POST, GET, DELETE, SEÇENEKLER".
Bu değişiklikler, Web arayüzü aracılığıyla mitmproxy'yi yönetmek için kullanılan HTTP API'ye erişim üzerindeki kısıtlamaları kaldırdı; bu, aynı yerel ağda bulunan herhangi bir saldırganın, bir HTTP isteği göndererek kullanıcının sisteminde kendi kodunun yürütülmesini organize etmesine olanak tanıdı.
Dizin yönetimi, yapılan değişikliklerin kötü niyetli olarak yorumlanabileceğini ve paketin kendisinin ana proje kisvesi altında başka bir ürünü tanıtma girişimi olarak kabul etti (paketin açıklamasında bunun bir mitmproxy değil, yeni bir mitmproxy sürümü olduğu belirtildi). çatal). Paketin katalogdan kaldırılmasının ardından ertesi gün, açıklaması da resmi paketle tamamen eşleşen yeni bir paket olan mitmproxy-iframe PyPI'ye gönderildi. Mitmproxy-iframe paketi de artık PyPI dizininden kaldırıldı.
Kaynak: opennet.ru