Автор mitmproxy, инструмента для анализа трафика HTTP/HTTPS, обратил внимание на появление в каталоге Python-пакетов PyPI (Python Package Index) форка своего проекта. Форк распространялся под похожим именем mitmproxy2 и несуществующей версией 8.0.1 (актуальный выпуск mitmproxy 7.0.4) с расчётом на то, что невнимательные пользователи воспримут пакет как новую редакцию основного проекта (тайпсквоттинг) и пожелают опробовать новую версию.
По своему составу mitmproxy2 был аналогичен mitmproxy, за исключением изменений с реализацией вредоносной функциональности. Изменения сводились к прекращению выставления HTTP-заголовка "X-Frame-Options: DENY", запрещающего обработку содержимого внутри iframe, отключению защиты от XSRF-атак и выставлению заголовков "Access-Control-Allow-Origin: *", "Access-Control-Allow-Headers: *" и "Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS".
Указанные изменения убирали ограничения доступа к HTTP API, применяемого для управления mitmproxy через Web-интерфейс, что позволяло любому злоумышленнику, находящемуся в той же локальной сети, через отправку HTTP-запроса организовать выполнение своего кода на системе пользователя.
Администрация каталога согласилась с тем, что внесённые изменения можно трактовать как вредоносные, а сам пакет как попытку продвижения иного продукта под видом основного проекта (в описании пакета утверждалось, что это новая версия mitmproxy, а не форк). После удаления пакета из каталога на следующий день в PyPI был размещён новый пакет mitmproxy-iframe, описание которого также полностью совпадало с официальным пакетом. В настоящее время пакет mitmproxy-iframe также удалён из каталога PyPI.
По своему составу mitmproxy2 был аналогичен mitmproxy, за исключением изменений с реализацией вредоносной функциональности. Изменения сводились к прекращению выставления HTTP-заголовка "X-Frame-Options: DENY", запрещающего обработку содержимого внутри iframe, отключению защиты от XSRF-атак и выставлению заголовков "Access-Control-Allow-Origin: *", "Access-Control-Allow-Headers: *" и "Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS".
Указанные изменения убирали ограничения доступа к HTTP API, применяемого для управления mitmproxy через Web-интерфейс, что позволяло любому злоумышленнику, находящемуся в той же локальной сети, через отправку HTTP-запроса организовать выполнение своего кода на системе пользователя.
Администрация каталога согласилась с тем, что внесённые изменения можно трактовать как вредоносные, а сам пакет как попытку продвижения иного продукта под видом основного проекта (в описании пакета утверждалось, что это новая версия mitmproxy, а не форк). После удаления пакета из каталога на следующий день в PyPI был размещён новый пакет mitmproxy-iframe, описание которого также полностью совпадало с официальным пакетом. В настоящее время пакет mitmproxy-iframe также удалён из каталога PyPI.
