Proprietarii Polyfill.io au retras serviciul JavaScript CDN pe un nou domeniu după ce polyfill.io a fost închis deoarece cercetătorii au expus faptul că furniza coduri malitioase pe peste 100.000 de site-uri.
Serviciul Polyfill susține că a fost ‘defăimat’ în mod malitios și a fost supus ‘mesajelor media care denigrează Polyfill.’
Domeniul Polyfill.io pare să fi fost închis astăzi de către registrarul său Namecheap.
Proprietarii serviciului au relansat totuși serviciul pe un nou domeniu și susțin că nu există ‘riscuri de lanț de aprovizionare.’
Într-o serie de postări pe X (fostul Twitter), compania CDN dubioasă a vorbit împotriva acuzațiilor conform cărora ar fi implicată într-un atac la scară largă asupra lanțului de aprovizionare:
‘Am găsit mesaje media care denigrează Polyfill. Vrem să explicăm că toate serviciile noastre sunt cache-uite în Cloudflare și nu există niciun risc de lanț de aprovizionare,’ scrie Polyfill.
Serviciul susține mai departe că a fost ‘defăimat’ și respinge ideea că există un risc din utilizarea CDN-ului său:
‘Cineva ne-a defăimat în mod malitios. Nu avem riscuri de lanț de aprovizionare pentru că tot conținutul este cache-uit static. Orice implicare a terților ar putea introduce riscuri potențiale pentru site-ul dvs., dar nimeni nu ar face acest lucru deoarece ar compromite propria noastră reputație. Noi deja…
Furnizorii serviciului au relansat serviciul pe polyfill.com—de asemenea înregistrat cu Namecheap și complet funcțional în momentul testului realizat de BleepingComputer.
Cu toate pretențiile îndrăznețe ale Polyfill-ului că este sigur de utilizat, faptele și descoperirile făcute de practicienii în securitate demonstrează contrariul.
Proiectul original open source Polyfill a fost lansat pentru dezvoltatorii JavaScript pentru a adăuga funcționalități moderne browserelor mai vechi care de obicei nu suportă astfel de caracteristici. Cu toate acestea, creatorul său, Andrew Betts nu a deținut niciodată și nu a avut nicio asociere cu domeniul polyfill.io care furniza codul Polyfill prin intermediul unui CDN:
Dacă site-ul dvs. folosește https://t.co/3xHecLPXkB, eliminați-l IMEDIAT. Am creat proiectul serviciului Polyfill dar nu am deținut niciodată numele de domeniu și nu am avut nicio influență asupra vânzării sale. https://t.co/GYt3dhr5fI
În februarie, o entitate chineză numită ‘Funnull’ a cumpărat polyfill.io și a introdus coduri malitioase în scripturile livrate de CDN-ul său.
Cercetătorii Sansec au identificat recent că atacul lanțului de aprovizionare rezultat din scripturile modificate ale Polyfill.io a afectat mai mult de 100.000 de site-uri. Domeniul ar injecta malware pe dispozitivele mobile care vizitează site-uri care încorporează cod direct de la cdn.polyfill[.]io.
Ieri, compania de securitate în cloud, Cloudflare, a ridicat de asemenea semne de întrebare cu privire la utilizarea neautorizată de către Polyfill.io a numelui și logo-ului Cloudflare. A declarat că faptul că proprietarii polyfill.io nu au eliminat ‘declarația falsă’ de pe site-ul lor, în ciuda faptului că au fost contactați de Cloudflare, este ‘încă un semn de avertizare că nu pot fi încrezători.’
Cloudflare a confirmat în continuare afirmațiile Sansec că codul livrat de CDN-ul Polyfill.io redirecționează de fapt utilizatorii către site-uri de pariuri sportive și face acest lucru folosind un nume de domeniu typosquatted (google-anaiytics[.]com) care era o greșeală intenționată de ortografie a Google Analytics.
Site-urile web și dezvoltatorii ar trebui să se abțină de la utilizarea polyfill.io și polyfill.com și să ia în considerare trecerea la alternative sigure stabilite de Cloudflare și Fastly.
Cloudflare: Nu am autorizat niciodată polyfill.io să folosească numele nostru
Atacul asupra lanțului de aprovizionare JavaScript Polyfill.io afectează peste 100.000 de site-uri
Modulele de pe WordPress.org au fost compromise într-un atac asupra lanțului de aprovizionare
Software-ul de înregistrare a sălilor de judecată JAVS a fost compromis într-un atac asupra lanțului de aprovizionare
Leave a Reply