Peste 100.000 de site-uri au fost afectate într-un atac de tip supply chain de către serviciul Polyfill.io, după ce o companie chineză a achiziționat domeniul și scriptul a fost modificat pentru a redirecționa utilizatorii către site-uri malitioase și de escrocherie.
Un polyfill este un cod, cum ar fi JavaScript, care adaugă funcționalități moderne browserelor mai vechi care de obicei nu le suportă. De exemplu, adaugă funcții JavaScript care nu sunt disponibile pentru browserele mai vechi, dar sunt prezente în cele moderne.
Serviciul polyfill.io este folosit de sute de mii de site-uri pentru a permite tuturor vizitatorilor să utilizeze aceeași bază de cod, chiar dacă browserele lor nu suportă aceleași caracteristici moderne ca cele mai noi.
Astăzi, compania de securitate cibernetică Sansec a avertizat că domeniul și serviciul polyfill.io au fost achiziționate mai devreme în acest an de o companie chineză numită ‘Funnull’ și scriptul a fost modificat pentru a introduce coduri malitioase pe site-urile web într-un atac de tip supply chain.
Când polyfill.io a fost achiziționat, dezvoltatorul proiectului a avertizat că nu a deținut niciodată site-ul polyfill.io și că toate site-urile ar trebui să-l elimine imediat. Pentru a reduce riscul unui posibil atac de tip supply chain, Cloudflare și Fastly au pus în funcțiune propriile lor oglinzi ale serviciului Polyfill.io, astfel încât site-urile web să poată utiliza un serviciu de încredere.
‘Niciun site web de astăzi nu are nevoie de niciunul dintre polyfill-urile din biblioteca http://polyfill.io’, a tweetat dezvoltatorul original al serviciului Polyfill.
‘Cele mai multe caracteristici adăugate platformei web sunt adoptate rapid de toate browserele majore, cu unele excepții care în general nu pot fi polyfilled oricum, cum ar fi Web Serial și Web Bluetooth.’
În ultimele luni, predicția dezvoltatorului s-a adeverit, iar serviciul polyfill.io a fost redirecționat către polyfill.io.bsclink.cn, de care se ocupă noii proprietari.
Când dezvoltatorii au încorporat scripturile cdn.polyfill.io în site-urile lor, au extras acum cod direct de pe site-ul companiei chineze.
Cu toate acestea, dezvoltatorii site-urilor web au descoperit că noii proprietari injectau coduri malitioase care redirecționau vizitatorii către site-uri nedorite fără știrea proprietarului site-ului.
Într-un exemplu văzut de Sansec, scriptul modificat este folosit în principal pentru a redirecționa utilizatorii către site-uri de escrocherie, cum ar fi un site fals de Sportsbook. Acest lucru se face printr-un domeniu fals Google analytics (www.googie-anaiytics.com) sau redirecționări precum kuurza.com/redirect?from=bitget.
Cu toate acestea, cercetătorii spun că a fost dificil să analizeze pe deplin scriptul modificat deoarece acesta utilizează un targetare foarte specifică și este rezistent la reverse engineering.
‘Codul are o protecție specifică împotriva reverse engineering-ului și se activează doar pe dispozitive mobile specifice la ore specifice’, a continuat Sansec.
‘De asemenea, nu se activează atunci când detectează un utilizator administrator. De asemenea, întârzie execuția când este găsit un serviciu de analiză web, probabil pentru a nu ajunge în statisticile lor.’
În prezent, domeniul cdn.polyfill.io a fost redirecționat misterios către oglinda Cloudflare. Cu toate acestea, deoarece serverele DNS ale domeniului rămân neschimbate, proprietarii ar putea să-l redirecționeze ușor înapoi către propriile lor domenii în orice moment.
BleepingComputer a contactat Cloudflare pentru a vedea dacă au fost implicați în schimbarea înregistrărilor CNAME, dar nu a primit încă un răspuns.
Google a început să notifice advertiserii despre acest atac de tip supply chain, avertizându-i că paginile lor de destinație includ codul malitios și ar putea redirecționa vizitatorii către alte site-uri fără știrea sau permisiunea proprietarului site-ului.
Google avertizează, de asemenea, că Bootcss, Bootcdn și Staticfile au fost de asemenea găsite ca fiind cauze ale redirecționărilor nedorite, adăugând potențial mii, dacă nu sute de mii, de site-uri afectate de atacurile de tip supply chain.
‘Codul care cauzează aceste redirecționări pare să provină de la câțiva furnizori de resurse web terțe, inclusiv Polyfill.io, Bootcss.com, Bootcdn.net sau Staticfile.org’, se arată în emailul de la Google.
‘Raportări similare pot fi găsite căutând ‘polyfill.io’ pe Google (https://www.google.com/search?q=polyfill.io).
Google avertizează că dacă găsesc aceste redirecționări în timpul verificărilor regulate ale destinațiilor de anunțuri, acestea vor respinge anunțul corespunzător.
BleepingComputer a contactat Google pentru a afla mai multe despre redirecționări și când au început.
Leave a Reply