恶意mitmproxy2 Python包被移除

PyPI近日移除了恶意mitmproxy2 Python包。

mitmproxy2

官方mitmproxy Python库是一个免费、开源的交互式HTTPS代理，每周下载量超过4万次。10月11日，mitmproxy的开发者之一Maximilian Hils发推警示用户近日上传到PyPI的mitmproxy2包，称该包与mitmproxy是一样的，但其中包含一个（人为嵌入的）远程代码执行漏洞。

Hils的本意是向软件开发者提出警告，使得开发者不要错误地将'mitmproxy2'当做是'mitmproxy'的新版本，而其开发的应用中引入不安全的代码。

mitmproxy2 pypi页面

Hils意外发现了mitmproxy2 Python包，经过与mitmproxy对比发现，mitmproxy2中移除了API的所有安全措施：

'mitmproxy2'移除了API防护

当用户运行mitmproxy的web接口时，只会暴露HTTP API。但是从API中移除了防护措施后，处于同一网络中的所有人都可以用一个简单的HTTP请求在受害者机器上执行代码。

目前还不清楚发布'mitmproxy2'包的用户是处于恶意目的还是由于不安全的编码导致移除了API防护。

mitmproxy-iframe

随后，PyPI移除了mitmproxy2。但就在mitmproxy2被移除后不到1天的时间，BleepingComputer研究人员又在PyPI中发现了一个名为mitmproxy-iframe的包。该包也是官方mitmproxy包的复制版本，但是也从app.py文件中移除了mitmproxy2中移除的防护措施。

'mitmproxy-iframe' 包代码

此外，mitmproxy-iframe与mitmproxy2的发布者是同一个人。那么该用户的意图就很清楚了。