PyPI 删除具有安全问题的 “mitmproxy2” 包

出品|开源中国

文|御坂弟弟

PyPI 仓库删除了一个名为 "mitmproxy2" 的 Python 包，该包是官方 "mitmproxy" 包的副本，但存在一些 "人为引入" 的代码漏洞。

官方的 "mitmproxy" Python 包是一个免费和开源的交互式 HTTPS 代理，每周有超过 40000 次下载。而 "mitmproxy2" 本质上与 "mitmproxy" 完全相同，但删除了 HTTP API 中的所有保护措施，该行为会导致同一网络中的所有人都可以通过一个 HTTP 请求在运行 mitmproxy2 的机器上执行代码。

此外，"mitmproxy" 的官方开发人员表示，现在还不清楚山寨版 "mitmproxy2" 包的发布者是出于恶意还是仅仅出于不安全的编码行为。因为在误导用户下载 "mitmproxy2" 这一 "新版本" 后，添加恶意代码并在安装时立即执行显然更有 "效果"。

而在 PyPI 删除了 "mitmproxy2" 包后，该包的发布者在几个小时后又上传了一个 "mitmproxy-iframe" 包，其与 "mitmproxy2" 完全相同，复制了官方的 "mitmproxy"，但在 "app.py" 文件中删除了相关保护措施。其发布者的行为愈发引人怀疑。

目前，"mitmproxy-iframe" 包也已被 PyPI 删除。