PyPI近日移除了惡意mitmproxy2 Python包。

mitmproxy2

官方mitmproxy Python庫是一個免費、開源的交互式HTTPS代理，每周下載量超過4萬次。10月11日，mitmproxy的開發(fā)者之一Maximilian Hils發(fā)推警示用戶近日上傳到PyPI的mitmproxy2包，稱該包與mitmproxy是一樣的，但其中包含一個(人為嵌入的)遠程代碼執(zhí)行漏洞。

Hils的本意是向軟件開發(fā)者提出警告，使得開發(fā)者不要錯誤地將'mitmproxy2'當做是'mitmproxy'的新版本，而其開發(fā)的應(yīng)用中引入不安全的代碼。

mitmproxy2 pypi頁面

Hils意外發(fā)現(xiàn)了mitmproxy2 Python包，經(jīng)過與mitmproxy對比發(fā)現(xiàn)，mitmproxy2中移除了API的所有安全措施：

'mitmproxy2'移除了API防護

當用戶運行mitmproxy的web接口時，只會暴露HTTP API。但是從API中移除了防護措施后，處于同一網(wǎng)絡(luò)中的所有人都可以用一個簡單的HTTP請求在受害者機器上執(zhí)行代碼。

目前還不清楚發(fā)布'mitmproxy2'包的用戶是處于惡意目的還是由于不安全的編碼導(dǎo)致移除了API防護。

mitmproxy-iframe

隨后，PyPI移除了mitmproxy2。但就在mitmproxy2被移除后不到1天的時間，BleepingComputer研究人員又在PyPI中發(fā)現(xiàn)了一個名為mitmproxy-iframe的包。該包也是官方mitmproxy包的復(fù)制版本，但是也從app.py文件中移除了mitmproxy2中移除的防護措施。

'mitmproxy-iframe' 包代碼

此外，mitmproxy-iframe與mitmproxy2的發(fā)布者是同一個人。那么該用戶的意圖就很清楚了。

本文翻譯自：https://www.bleepingcomputer.com/news/security/pypi-removes-mitmproxy2-over-code-execution-concerns/如若轉(zhuǎn)載，請注明原文地址。