Un atac cibernetic asupra lanțului de aprovizionare a afectat peste 100.000 de site-uri web prin intermediul domeniului polyfill[.]io, care acum furnizează cod malițios. Acest atac poate duce la furt de date, clickjacking și alte tipuri de atacuri.
TL;DR
Domeniul polyfill[.]io a fost compromis și acum furnizează cod malițios către peste 100.000 de site-uri web. Utilizatorii sunt sfătuiți să elimine imediat referințele la acest domeniu din aplicațiile lor.
Atacul asupra lanțului de aprovizionare Polyfill.io lovește peste 100.000 de site-uri web
Un domeniu pe care peste 100.000 de site-uri web îl folosesc pentru a livra cod JavaScript este acum utilizat ca un canal pentru un atac asupra lanțului de aprovizionare web care folosește cod generat dinamic, redirecționează utilizatorii către site-uri pornografice și de pariuri sportive și poate duce la furt de date, clickjacking sau alte atacuri.
Activitatea malițioasă a urmat vânzării domeniului polyfill[.]io către o organizație chineză la începutul acestui an. Cercetătorii în securitate avertizează că domeniul cdn[.]polyfill[.]io a fost compromis pentru a servi cod malițios în scripturile livrate utilizatorilor finali într-un atac pe scară largă. Site-ul permite site-urilor să folosească caracteristici moderne JavaScript în browsere mai vechi, incluzând doar polyfills necesare în funcție de browserul utilizatorului.
Cod malitios generat dinamic
În mod specific, cercetătorii au descoperit cod malițios obfuscat care “generează dinamic cod în funcție de anteturile HTTP, activându-se doar pe anumite dispozitive mobile, evitând detectarea, evitând utilizatorii administratori și întârziind execuția” fiind injectat în dispozitive prin intermediul site-urilor care folosesc cdn[.]polyfill[.]io, a scris Wijckmans.
“În unele cazuri, utilizatorii primesc fișiere JavaScript modificate, care includ un link fals Google Analytics,” a scris el. “Acest link fals redirecționează utilizatorii către diverse site-uri de pariuri sportive și pornografice, aparent în funcție de regiunea lor.”
Având în vedere că codul malițios este JavaScript, acesta ar putea “oricând introduce noi atacuri precum formjacking, clickjacking și furt de date pe scară largă,” a notat Wijkmans.
Utilizatorii Polyfill au fost avertizați
Utilizatorii Polyfill au fost deja avertizați în februarie cu privire la potențialul pentru activități malițioase și au fost sfătuiți să nu mai folosească domeniul polyfill[.]io după ce a fost achiziționat de Funnull, o companie chineză. După vânzare, dezvoltatorul proiectului open source Polyfill, Andrew Betts, a îndemnat utilizatorii într-o postare pe X să elimine referințele la rețeaua de livrare a conținutului (CDN), în parte pentru că nu a deținut niciodată site-ul.
“Am creat proiectul serviciului Polyfill, dar nu am deținut niciodată numele de domeniu și nu am avut nicio influență asupra vânzării acestuia,” a scris el.
Un site numit Pollykill a fost chiar creat pe 27 februarie “pentru a aduce conștientizare asupra unei vulnerabilități majore în lanțul de aprovizionare JavaScript,” de când Polyfill a fost vândut și tot traficul Polyfill a fost redirecționat “către CDN-ul Baishan Cloud.” Pollykill oferă, de asemenea, utilizatorilor alternative pentru utilizarea site-ului pentru a livra JavaScript pe site-urile lor, avertizând utilizatorii cu privire la “numeroasele riscuri asociate cu permiterea unei entități străine necunoscute de a gestiona și livra JavaScript în cadrul aplicației dvs. web.”
“Ei pot observa în liniște traficul utilizatorilor și, dacă ar avea intenții malițioase, ar putea fura potențial nume de utilizator, parole și informații despre cardurile de credit direct pe măsură ce utilizatorii introduc informațiile în browserul web,” conform site-ului.
Acțiune imediată necesară
Atacurile asupra lanțului de aprovizionare care compromit scripturile site-urilor web și alte coduri utilizate pe scară largă în aplicații sau proprietăți web sunt o problemă serioasă, ceea ce înseamnă că oricine folosește Polyfill trebuie să ia măsuri acum, a spus Wijkmans.
“Resursele terțe sunt într-o poziție foarte puternică și, prin urmare, o țintă de mare valoare pentru actorii rău intenționați,” a scris el, adăugând că CDN-urile care găzduiesc scripturi terțe sunt în mod special supuse atacurilor.
Cu toate acestea, un lucru important de menționat este că “serviciul Polyfill în sine este încă solid,” a spus Wijkmans. “Puteți găzdui propria versiune într-un mediu sigur și controlat fără probleme.” Deoarece problema constă în domeniul cdn[.]polyfill[.]io, acesta ar trebui să fie eliminat imediat din orice site care îl folosește. Mai mult, feed-urile de amenințări în prezent nu semnalează domeniul, deci administratorii nu ar trebui să se bazeze pe acestea, a adăugat Wijkmans.
Recomandări pentru dezvoltatori
Website-ul Polykill recomandă, de asemenea, dezvoltatorilor să utilizeze un instrument de căutare a codului sau un mediu de dezvoltare integrat (IDE) pentru a căuta instanțe ale domeniului malițios în codul sursă din toate proiectele unei organizații. Acesta menționează resursele comunității de dezvoltatori Fastly Connect, care îi pot ajuta să securizeze site-urile care folosesc Polyfill; acestea includ polyfill-fastly[.]net și polyfill-fastly[.]io, care sunt înlocuitori gratuiți pentru polyfill[.]io în codul unui site.
Fork-ul Fastly al codului open source 223 poate fi, de asemenea, utilizat pentru a găzdui singur serviciul pentru a menține controlul deplin asupra codului livrat utilizatorilor, conform Fastly.