PYPI deposu, resmi "MITMPROXY" kütüphanesinin aynı bir kopyası olan 'Mitmproxy2' adlı bir Python paketi çıkardı, ancak "yapay olarak tanıtılan" kod yürütme güvenlik açığı ile.
Resmi 'Mitmproxy' Python Kütüphanesi, 40.000'in üzerinde haftalık indirme ile ücretsiz ve açık kaynaklı etkileşimli bir HTTPS proxy'dir.
Dün, 'Mitmproxy' Python Kütüphanesinin arkasındaki geliştiricilerden biri olan Maximilian Hils, herkesin pypi'ye yüklenen sahte bir 'Mitmproxy2' paketine dikkat çekti.
'Mitmproxy2' esasen "normal mitmproxy ile aynıdır, ancak yapay bir RCE güvenlik açığıyla dahil edilmiştir."
Ne kadar popüler olursa, o kadar çok şey çekersen, birisi @pypi'ye "Mitmproxy2" yükledi, bu da düzenli mitmproxy ile aynı ancak yapay bir RCE güvenlik açığı dahil.
Hils'in ana endişesi, BleepingComputer'ı anlattığı için, bazı yazılım geliştiricilerin 'Mitmproxy2' 'Mitmproxy2'yi' Mitmproxy 'olarak' Mitmproxy2 'olarak yanlışlıkla hata yapabileceklerdi ve yanlışlıkla uygulamalarında güvensiz kodu tanıtıyordu.
HILS, bu CopyCat paketini, ilgisiz bir PYPI depo sorunu ararken "mutlu küçük bir kaza" olarak adlandırdığını buldu.
'Mitmproxy2' ve 'mitmproxy arasındaki farklılıkları analiz etmede, önemli bir şey göze çarpıyor. Eski, tüm korumaları API'den kaldırıldı:
"MITMPROXY'in web arayüzünü çalıştırdığınızda, bunun için bir HTTP API'sini açığa çıkarırız. Bu API'den tüm korumaları kaldırırsanız, aynı ağdaki herkes makinenizdeki tek bir HTTP isteği ile kodu yürütebilir" dedi. .
Ya COPTCAT 'MITMPROXY2' paketi yayınlayan kullanıcının istekli kötü niyetli niyetle ya da güvensiz kodlama uygulamalarının dışında kaldığında net değil.
"Açık olmak için, bu gerçekten bir saldırganın yapabileceği en kötü niyetli şey değil. Sadece kurulumda yürütülen bazı kötü amaçlı kod eklemek çok daha basit olacaktır."
"Sorun elbette, bunu PYPI'ye 'mitmproxy2' olarak yüklerseniz, daha yeni / bir halefi olduğunu belirten bir sürüm numarası ile insanlar kaçınılmaz olarak değişiklikleri bilmeden kaçınılmaz olarak indireceklerdir."
Hils, PYPI gönüllülerine bu rapora hızlıca tepki verdi. Dört saat içinde Hills 'Twitter' Mitmproxy 2 'alındı.
'Mitmproxy2' analiz ederken, BleepingComputer, 'mitmproxy-iframe' başka bir paketin PYPI kayıt defterinde göründüğünü keşfetti, 'Mitmproxy2' kaldırıldıktan bir günden daha az.
Bir kez daha, bu paket, resmi Mitmproxy'nin tam bir kopyasıdır, ancak yukarıda belirtilen korunmalarla, BleepingComputer tarafından görüldüğü gibi "App.py" dosyasından çıkarıldı.
İlginç bir şekilde, MITMPROXY-IFRAME, 'MITMPROXY2' de 'MITMPROXY2' ile aynı kullanıcı tarafından da yayınlandı, şimdi kullanıcının niyetinin ne olduğuna dair şüphe duyuyor:
Herkes açık kaynaklı ekosistemlere paketleri yayınlayabildiği için, kötü amaçlı yazılım enjeksiyonu, yazım hatası, brandjacking ve bağımlılık kafa karışıklığı gibi güvenlik tehditleri ve saldırılarını yayınlayabilir, son zamanlarda hızla artmıştır.
Açık kaynak kayıtlı kayıtlar tarafından somut doğrulamalar yapılmazsa, bu "chack-a-mol" durumları kendilerini tekrarlamak için bağlanır.
BleepingComputer, yayınlanmadan önce 'Mitmproxy-iFrame' paketinin PYPI'sini bildirdi ve paketin alındı.
Android uygulaması güvenlik kusurlarını bulmak için Facebook açık kaynaklar aracı
Kore'den ayrılmaya çalışırken trickbot çete geliştiricisi tutuklandı
Google'ın tensorflow, kod yürütme kusurundan dolayı YAML desteğini düşürdü.
CyberCriminal AMD, NVIDIA GPUS'taki kötü amaçlı yazılımları gizlemek için satıyor
Ethereum, Şiddetli Zincir Bölünmüş Güvenlik Açığını Düzeltmek için GO DEV'leri Davranıyor
Kaynak: Bleeping Computer