PyPI最近恶意被移除mitmproxy2 Python包。
mitmproxy2
官方mitmproxy Python库是免费开源的交互式HTTPS代理,每周下载超过4万次。10月11日,mitmproxy开发者之一Maximilian Hils近日,推送警告用户上传PyPI的mitmproxy2包,称包与mitmproxy它是一样的,但它包含一个远程代码执行漏洞(人工嵌入)。
Hils最初的目的是警告软件开发者,这样开发者就不会错误地说‘mitmproxy2'当做是'mitmproxy引入不安全代码的新版本。
mitmproxy2 pypi页面
Hils意外发现了mitmproxy2 Python包,经过与mitmproxy对比发现,mitmproxy2中移除了API所有安全措施:
'mitmproxy2'移除了API防护
当用户运行mitmproxy的web接口只会暴露HTTP API。但是从API除保护措施外,同一网络中的每个人都可以使用简单的方法HTTP请求在受害者机器上执行代码。
目前还不清楚发布‘’mitmproxy2包的用户是恶意还是因为编码不安全而被移除?API防护。
mitmproxy-iframe
随后,PyPI移除了mitmproxy2。但就在mitmproxy2移除后不到一天,BleepingComputer研究人员又在了PyPI发现了一个名字mitmproxy-iframe包个包也是官方的mitmproxy包的复制版,但也从app.py删除了文件mitmproxy2中移除的防护措施。
'mitmproxy-iframe' 包代码
此外,mitmproxy-iframe与mitmproxy2出版商是同一个人。然后用户的意图就很清楚了。
本文翻译自:https://www.bleepingcomputer.com/news/security/pypi-removes-mitmproxy2-over-code-execution-concerns/如果转载,请注明原始地址。