Si utiliza código Polyfill.io en su sitio (como más de 100.000), elimínelo inmediatamente • Historial

El dominio polyfill.io se está utilizando para infectar más de 100.000 sitios web con malware después de que una organización china comprara el dominio a principios de este año.

Varias empresas de seguridad hicieron sonar la alarma el martes, advirtiendo a las organizaciones cuyos sitios web utilizan cualquier código JavaScript del dominio pollyfill.io que lo eliminen de inmediato.

Ver el sitio Múltiples rellenos – Piezas útiles de código JavaScript que agregan funcionalidad a navegadores más antiguos incluidos en versiones más nuevas. Estas operaciones de empaquetado facilitan la vida a los desarrolladores: al utilizar múltiples herramientas de empaquetado, saben que su código web funcionará en una gama más amplia de navegadores.

Ahora nos han dicho que pollyfill.io entrega código malicioso oculto en esos scripts, lo que significa que cualquiera que visite un sitio web usando el dominio terminará ejecutando ese malware en su navegador.

«El dominio cdn.polyfill.io se está utilizando actualmente en un ataque a la cadena de suministro web», Carlo Dagnolo de la firma de monitoreo de seguridad c/side Él dijo En consulta. «Solía ​​albergar un servicio para agregar múltiples archivos JavaScript a sitios web, pero ahora está inyectando código malicioso en scripts entregados a los usuarios finales».

Además, entendemos que Google ha comenzado a bloquear los anuncios de Google para sitios web que utilizan el código afectado, lo que probablemente reducirá el tráfico hacia ellos y reducirá el número de víctimas potenciales. El gigante de Internet también ha alertado a los propietarios de los sitios web afectados.

«Recientemente descubrimos un problema de seguridad que puede afectar a los sitios web que utilizan determinadas bibliotecas de terceros», dijo un portavoz de Google. Registro. «Para ayudar a los anunciantes potencialmente afectados a proteger sus sitios web, hemos compartido información de manera proactiva sobre cómo mitigar rápidamente el problema».

Según Google, los sitios que incluyen scripts envenenados de polyfill.io y bootcss.com pueden terminar redirigiendo inesperadamente a los visitantes fuera del sitio deseado, enviándolos a sitios maliciosos. Decir Anunciantes.

mas que 100.000 sitios Lleva scripts hostiles, según el equipo de análisis de seguridad de Sansec, que afirmó el martes que Funnull, el operador CDN chino que compró el dominio polyfill.io y su cuenta GitHub asociada en febrero, ha estado utilizando el servicio en un ataque a la cadena de suministro. .

Polyfill.io es utilizado por la biblioteca académica JSTOR, así como por Intuit, el Foro Económico Mundial y más.

Desde febrero “este campo ha sido explorado mediante inyecciones malware En dispositivos móviles a través de cualquier sitio que incluya cdn.polyfill.io”, Sansec, una empresa de seguridad de comercio electrónico, advertirAñadiendo que cualquier Quejas Acerca de la actividad maliciosa que desaparece rápidamente del repositorio de GitHub.

«El código polyfill se genera dinámicamente en función de los encabezados HTTP, por lo que es probable que existan múltiples vectores de ataque», señaló Sancic.

De hecho, Andrew Bates, quien creó el proyecto de servicio de código abierto Polyfill a mediados de 2010, le dijo a la gente a principios de este año que no usaran polyfill.io en absoluto. Según lo entendemos, Bates mantuvo el proyecto y contribuyó a la recompra de GitHub hasta hace unos años, argumentando ahora que ya no era realmente necesario.

En febrero, dijo que no tenía nada que ver con la venta del nombre de dominio, supuestamente vinculado a un repositorio de GitHub, a una CDN china, e instó a todos a eliminar su código de sus páginas web como medida de precaución tras el cambio de propietario.

«Si tienes un sitio web, subir el guión significa que existe una increíble relación de confianza con ese tercero». Mierda a tiempo. «¿Realmente confías en ellos?»

Poco después, otros proveedores de CDN populares, incluidos rápidamenteDónde trabaja Bates hoy y Llamarada de nube criatura espejos Desde polyfill.io para que los sitios puedan seguir usando el código mientras tanto sin tener que descargar cosas de una entidad china.

«La preocupación es que cualquier sitio web que incluya un enlace al dominio polyfill.io original ahora dependerá de Funnull para mantener y asegurar el proyecto subyacente y evitar el riesgo de un ataque a la cadena de suministro», dijeron Sven Soliu y Michael Tremanti de Cloudflare. Él dijo En febrero.

«Tal ataque podría ocurrir si el tercero subyacente se ve comprometido o si el código presentado a los usuarios finales se modifica de manera nefasta, lo que llevaría a que todos los sitios web que utilizan la herramienta se vean comprometidos», agregaron.

Ahora ese parece ser el caso. ®