27.10.2021

Из каталога PyPI удалены вредоносные пакеты mitmproxy2 и mitmproxy-iframe

Автор mitmproxy, инструмента для анализа трафика HTTP/HTTPS, обратил внимание на появление в каталоге Python-пакетов PyPI (Python Package Index) форка своего проекта. Форк распространялся под похожим именем mitmproxy2 и несуществующей версией 8.0.1 (актуальный выпуск mitmproxy 7.0.4) с расчётом на то, что невнимательные пользователи воспримут пакет как новую редакцию основного проекта (тайпсквоттинг) и пожелают опробовать новую версию.

По своему составу mitmproxy2 был аналогичен mitmproxy, за исключением изменений с реализацией вредоносной функциональности. Изменения сводились к прекращению выставления HTTP-заголовка «X-Frame-Options: DENY«, запрещающего обработку содержимого внутри iframe, отключению защиты от XSRF-атак и выставлению заголовков «Access-Control-Allow-Origin: *«, «Access-Control-Allow-Headers: *» и «Access-Control-Allow-Methods: POST, GET, DELETE, OPTIONS«.

Указанные изменения убирали ограничения доступа к HTTP API, применяемого для управления mitmproxy через Web-интерфейс, что позволяло любому злоумышленнику, находящемуся в той же локальной сети, через отправку HTTP-запроса организовать выполнение своего кода на системе пользователя.

Администрация каталога согласилась с тем, что внесённые изменения можно трактовать как вредоносные, а сам пакет как попытку продвижения иного продукта под видом основного проекта (в описании пакета утверждалось, что это новая версия mitmproxy, а не форк). После удаления пакета из каталога на следующий день в PyPI был размещён новый пакет mitmproxy-iframe, описание которого также полностью совпадало с официальным пакетом. В настоящее время пакет mitmproxy-iframe также удалён из каталога PyPI.

Источник.