Автор mitmproxy, інструмент для аналізу трафіку HTTP/HTTPS, звернув увагу на появу в каталозі Python-пакетів PyPI (Python Package Index) форка свого проекту. Форк поширювався під схожим ім'ям mitmproxy2 і неіснуючою версією 8.0.1 (актуальний випуск mitmproxy 7.0.4) з розрахунком на те, що неуважні користувачі сприймуть пакет як нову редакцію основного проекту (тайпсквоттінг) та побажання.
За своїм складом mitmproxy2 був аналогічний mitmproxy, за винятком змін з реалізацією шкідливої функціональності. Зміни зводилися до припинення виставлення HTTP-заголовка X-Frame-Options: DENY, що забороняє обробку вмісту всередині iframe, відключення захисту від XSRF-атак і виставлення заголовків Access-Control-Allow-Origin: *, Access-Control- Allow-Headers: *» та «Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS».
Зазначені зміни прибирали обмеження доступу до HTTP API, що застосовується для управління mitmproxy через Web-інтерфейс, що дозволяло будь-якому зловмиснику, що знаходиться в тій же локальній мережі, через відправлення HTTP-запиту організувати виконання свого коду на системі користувача.
Адміністрація каталогу погодилася з тим, що внесені зміни можна трактувати як шкідливі, а сам пакет як спробу просування іншого продукту під виглядом основного проекту (в описі пакета стверджувалося, що це нова версія mitmproxy, а не форк). Після видалення пакета з каталогу наступного дня в PyPI був розміщений новий пакет mitmproxy-iframe, опис якого також повністю збігався з офіційним пакетом. В даний час пакет mitmproxy-iframe також вилучено з каталогу PyPI.
Джерело: opennet.ru