A Polyfill.io JavaScript támadása több, mint 100 ezer webhelyet érint

Több mint 110 000 webhelyet érint az itthon is népszerű Polyfill.io szolgáltatás általi supply chain attack, miután egy kínai vállalat megszerezte a domaint, és a scriptet úgy módosította, hogy a felhasználókat rosszindulatú webhelyekre irányítsa át.

A polyfill olyan funkciókat ad hozzá a régebbi böngészőkhöz, amelyek a modern böngészőkben megtalálhatók. A szolgáltatást több mint százezer webhely használja, hogy minden látogató ugyanazt a kódbázist használhassa, még akkor is, ha böngészőjük nem támogatja ugyanazokat a modern funkciókat, mint az újabbak.

2024 februárjában egy kínai cég megvásárolta a domaint és a hozzá tartozó Github fiókot. Így, amikor a fejlesztők beágyazzák a cdn.polyfill.io scripteket a webhelyeikbe, közvetlenül a kínai vállalat oldaláról szedték le a kódokat.

Az esetleges supply chain attack kockázatának csökkentése érdekében a Cloudflare és a Fastly saját mirrort állított fel, hogy a webhelyek megbízható szolgáltatást használhassanak.

A Sansec által látott példában a módosított szkriptet elsősorban arra használták, hogy átirányítsák a felhasználókat egy scam, például egy hamis sportfogadási oldalra. Ezt egy hamis Google Analytics domain (www.googie-anaiytics.com) vagy olyan átirányítások révén teszi, mint a kuurza.com/redirect?from=bitget.

A kutatók szerint azonban nehéz volt teljes mértékben elemezni a módosított scriptet, mivel nagyon specifikus célzást használ, ellenáll a visszafejtésnek és csak meghatározott mobileszközökön, meghatározott órákban aktiválódik (akkor sem aktiválódik, ha admin felhasználót észlel). Emellett késlelteti a végrehajtást, amikor webanalitikai szolgáltatást talál, feltehetően azért, hogy ne kerüljön be a statisztikákba.

Jelenleg a cdn.polyfill.io domain rejtélyes módon át lett irányítva a Cloudflare mirrorra. Mivel azonban a domain DNS kiszolgálói változatlanok maradnak, a tulajdonosok bármikor könnyedén visszakapcsolhatják azt a saját domainjükre.

A Google megkezdte a hirdetők értesítését az SCA-ról, figyelmeztetve őket, hogy a céloldalaik tartalmazzák a rosszindulatú kódot, és a weboldal tulajdonosának tudta vagy engedélye nélkül átirányíthatják a látogatókat a tervezett oldalról. A Google arra is figyelmeztet, hogy a Bootcss, a Bootcdn és a Staticfile szintén nem kívánt átirányításokat okoz, így potenciálisan több ezer, ha nem több százezer olyan webhelyet érinthet a támadás.

A Google arra figyelmeztet, hogy ha a hirdetési célpontok rendszeres ellenőrzése során ilyen átirányításokat talál, akkor a kapcsolódó hirdetést elutasítják.

(bleepingcomputer.com)