PyPI近日移除了恶意mitmproxy2 Python包。
mitmproxy2
官方mitmproxy Python库是一个免费、开源的交互式HTTPS代理,每周下载量超过4万次。10月11日,mitmproxy的开发者之一Maximilian Hils发推警示用户近日上传到PyPI的mitmproxy2包,称该包与mitmproxy是一样的,但其中包含一个(人为嵌入的)远程代码执行漏洞。
Hils的本意是向软件开发者提出警告,使得开发者不要错误地将'mitmproxy2'当做是'mitmproxy'的新版本,而其开发的应用中引入不安全的代码。
mitmproxy2 pypi页面
Hils意外发现了mitmproxy2 Python包,经过与mitmproxy对比发现,mitmproxy2中移除了API的所有安全措施:
'mitmproxy2'移除了API防护
当用户运行mitmproxy的web接口时,只会暴露HTTP API。但是从API中移除了防护措施后,处于同一网络中的所有人都可以用一个简单的HTTP请求在受害者机器上执行代码。
目前还不清楚发布'mitmproxy2'包的用户是处于恶意目的还是由于不安全的编码导致移除了API防护。
mitmproxy-iframe
随后,PyPI移除了mitmproxy2。但就在mitmproxy2被移除后不到1天的时间,BleepingComputer研究人员又在PyPI中发现了一个名为mitmproxy-iframe的包。该包也是官方mitmproxy包的复制版本,但是也从app.py文件中移除了mitmproxy2中移除的防护措施。
'mitmproxy-iframe' 包代码
此外,mitmproxy-iframe与mitmproxy2的发布者是同一个人。那么该用户的意图就很清楚了。
本文翻译自:https://www.bleepingcomputer.com/news/security/pypi-removes-mitmproxy2-over-code-execution-concerns/如若转载,请注明原文地址