.
O domínio polyfill.io está sendo usado para infectar mais de 100.000 sites com malware depois que uma organização chinesa comprou o domínio no início deste ano.
Várias empresas de segurança soaram o alarme na terça-feira, alertando as organizações cujos sites usam qualquer código JavaScript do domínio pollyfill.io para removê-lo imediatamente.
O site oferecia polyfills – pedaços úteis de código JavaScript que adicionam funcionalidade a navegadores mais antigos integrados em versões mais recentes. Esses preenchimentos facilitam a vida dos desenvolvedores, pois, ao usar polyfillers, eles sabem que seu código da web funcionará em uma variedade maior de navegadores.
Agora fomos informados de que pollyfill.io está veiculando código malicioso oculto nesses scripts, o que significa que qualquer pessoa que visitar um site usando o domínio acabará executando esse malware em seu navegador.
“O domínio cdn.polyfill.io está sendo usado atualmente em um ataque à cadeia de suprimentos da web”, disse Carlo D’Agnolo, da empresa de monitoramento de segurança c/side, em um comunicado. “Ele costumava hospedar um serviço para adicionar polyfills JavaScript a sites, mas agora está inserindo código malicioso em scripts servidos aos usuários finais”.
Além disso, entendemos que o Google começou a bloquear o Google Ads para sites que usam o código afetado, presumivelmente para reduzir o tráfego para eles e diminuir o número de vítimas em potencial. Os proprietários de sites afetados também foram alertados pelo gigante da internet.
“Detectamos recentemente um problema de segurança que pode afetar sites que usam certas bibliotecas de terceiros”, disse um porta-voz do Google. O registro. “Para ajudar os anunciantes potencialmente afetados a proteger seus sites, temos compartilhado proativamente informações sobre como mitigar rapidamente o problema”.
Sites que incorporam scripts envenenados de polyfill.io e também bootcss.com podem acabar redirecionando inesperadamente os visitantes para fora do local pretendido e enviá-los para sites maliciosos, disse o Google aos anunciantes.
Mais de 100.000 sites já carregam scripts hostis, de acordo com a equipe forense de segurança da Sansec, que na terça-feira afirmou que Funnull, uma operadora chinesa de CDN que comprou o domínio polyfill.io e sua conta GitHub associada em fevereiro, tem usado o serviço desde então. em um ataque à cadeia de suprimentos.
Polyfill.io é usado pela biblioteca acadêmica JSTOR, bem como pela Intuit, Fórum Econômico Mundial e muito mais.
Desde fevereiro, “este domínio foi pego injetando malware em dispositivos móveis por meio de qualquer site que incorpore cdn.polyfill.io”, alertou Sansec, uma empresa de segurança de comércio eletrônico, acrescentando que quaisquer reclamações sobre a atividade maliciosa desaparecem rapidamente do GitHub. repositório.
“O código polyfill é gerado dinamicamente com base nos cabeçalhos HTTP, portanto, são prováveis vários vetores de ataque”, observou Sansec.
Na verdade, Andrew Betts, que criou o projeto de serviço de código aberto polyfill em meados da década de 2010, disse às pessoas no início deste ano para não usarem o polyfill.io. Pelo que entendemos, Betts manteve o projeto e contribuiu para seu repositório GitHub até alguns anos atrás, argumentando agora que ele realmente não é mais necessário.
Em fevereiro, ele disse que não tinha nada a ver com a venda do nome de domínio, e provavelmente do repositório GitHub associado, para a CDN chinesa, e pediu a todos que removessem seu código de suas páginas da web como precaução após a mudança de propriedade.
“Se você possui um site, carregar um script implica uma incrível relação de confiança com esse terceiro”, disse ele na época. “Você realmente confia neles?”
Logo depois, outros provedores populares de CDN, incluindo Fastly, onde Betts trabalha hoje, e Cloudflare criaram espelhos de polyfill.io para que os sites pudessem continuar a usar o código enquanto isso, sem ter que carregar coisas de uma entidade chinesa.
“As preocupações são que qualquer site que incorpore um link para o domínio polyfill.io original agora dependerá do Funnull para manter e proteger o projeto subjacente para evitar o risco de um ataque à cadeia de suprimentos”, disseram Sven Sauleau e Michael Tremante da Cloudflare em fevereiro. .
“Tal ataque ocorreria se o terceiro subjacente fosse comprometido ou alterasse o código que está sendo servido aos usuários finais de maneiras nefastas, fazendo com que, consequentemente, todos os sites que usam a ferramenta fossem comprometidos”, acrescentaram.
Agora esse parece ser o caso. ®
.
