PyPI устраняет ‘mitmproxy2’ из-за проблем с выполнением кода

14
Результаты Rogers за третий квартал могут быть омрачены размолвками из совета директоров

Репозиторий PyPI удалил пакет Python под названием «mitmproxy2», который был идентичной копией официальной библиотеки «mitmproxy», но с «искусственно введенной» уязвимостью выполнения кода.

Официальная библиотека Python mitmproxy — это бесплатный интерактивный HTTPS-прокси с открытым исходным кодом, который еженедельно скачивается более 40 000 раз.

Пакет Copycat может обмануть разработчиков и заставить их переключиться на «более новую» версию

Вчера Максимилиан Хилс, один из разработчиков библиотеки Python mitmproxy, обратил всеобщее внимание на поддельный пакет mitmproxy2, загруженный в PyPI.

«mitmproxy2» по сути «то же самое, что и обычный mitmproxy, но с искусственной уязвимостью RCE».

Основная проблема Хилса, как он описывает BleepingComputer, заключалась в том, что некоторые разработчики программного обеспечения могли ошибочно принять «mitmproxy2» за новую версию «mitmproxy» и непреднамеренно ввести небезопасный код в свои приложения.

Хилс обнаружил этот имитационный пакет в том, что он называет «счастливой маленькой аварией», когда изучал несвязанную проблему хранилища PyPI.

При анализе различий между «mitmproxy2» и его «mitmproxy» выделилось кое — что важное. В первом случае из API были удалены все гарантии:

«Когда вы запускаете веб-интерфейс mitmproxy, мы предоставляем для этого HTTP API. Если вы удалите все меры безопасности из этого API, каждый в одной сети сможет выполнять код на вашем компьютере с помощью одного HTTP-запроса», — сказал Хилс в интервью по электронной почте.

Неясно также, сделал ли пользователь, опубликовавший пакет подражателя «mitmproxy2», умышленный злой умысел или просто из-за небезопасных методов кодирования. 

«Чтобы было ясно, это действительно не самая опасная вещь, которую может сделать злоумышленник. Было бы гораздо проще просто добавить вредоносный код, который сразу запускается при установке».

«Проблема, конечно, в том, что если вы загрузите это в PyPI как« mitmproxy2 »с номером версии, который указывает, что он более новый / преемник, люди неизбежно загрузят его, не зная об изменениях».

Хилс поблагодарил волонтеров PyPI за оперативную реакцию на этот отчет. В течение четырех часов после твита Хилса «mitmproxy2» был удален.

Ударь крота: еще один подражатель появляется через несколько часов

При анализе «mitmproxy2» BleepingComputer обнаружил, что другой пакет «mitmproxy-iframe» появился в реестре PyPI менее чем через день после удаления «mitmproxy2».

Еще раз, этот пакет является точной копией официального mitmproxy , но с вышеупомянутыми гарантиями, удаленными из файла «app.py», как это видно с помощью BleepingComputer.

Интересно, что  mitmproxy-iframe также публикуется тем же пользователем, который стоит за «mitmproxy2», что ставит под сомнение намерения пользователя/

Потому что каждый может публиковать пакеты с открытым исходным кодом экосистем, угрозы безопасности и атаки типа вредоносных инъекций, Typosquattingbrandjacking и  путаницами зависимостей  резко выросли в последнее время.

Если реестры с открытым исходным кодом не проведут конкретную валидацию, эти «удары молота» обязательно будут повторяться.

ОСТАВЬТЕ ОТВЕТ

Please enter your comment!
Please enter your name here