El dominio polyfill.io se ha utilizado para infectar más de 100.000 sitios web con malware desde que una organización china lo compró a principios de este año.
Varias empresas de seguridad hicieron sonar la alarma el martes, advirtiendo a las organizaciones cuyos sitios web utilizan código JavaScript del dominio pollyfill.io que lo eliminen de inmediato.
El sitio ofrecía polyfills, código JavaScript útil que agregaba funcionalidad a navegadores más antiguos integrados en versiones más nuevas. Estos rellenos facilitan la vida a los desarrolladores porque saben que al utilizar polyfills, su código web funcionará en una gama más amplia de navegadores.
Actualmente, se dice que pollyfill.io contiene código malicioso oculto en estos scripts. Esto significa que cualquiera que visite un sitio web utilizando este dominio ejecutará el malware en su navegador.
“El dominio cdn.polyfill.io se está utilizando actualmente para ataques a la cadena de suministro web”, dijo en un aviso Carlo D’Agnolo de la empresa de monitoreo de seguridad c/side. “Anteriormente alojamos un servicio que agregaba polyfills de JavaScript a sitios web, pero ahora inyectamos código malicioso en scripts entregados a los usuarios finales”.
Además, entendemos que Google ha comenzado a bloquear los anuncios de Google para sitios web que utilizan el código afectado. Es de suponer que esto tiene como objetivo reducir el tráfico a esos sitios web y reducir el número de víctimas potenciales. El gigante de Internet también ha emitido una advertencia a los propietarios de los sitios afectados.
“Recientemente detectamos un problema de seguridad que puede afectar a los sitios web que utilizan determinadas bibliotecas de terceros”, dijo un portavoz de Google a The Register. “Estamos compartiendo activamente información sobre cómo mitigar rápidamente el problema para que los anunciantes potencialmente afectados puedan proteger sus sitios web de forma segura”.
Google advierte a los anunciantes que los sitios que incorporan scripts dañinos de polyfill.io y bootcss.com pueden redirigir inesperadamente a los visitantes desde su ubicación prevista a sitios maliciosos.
Más de 100.000 sitios ya tienen scripts maliciosos, según el equipo forense de seguridad de Sansec, que dijo el martes que el operador CDN chino que compró el dominio polyfill.io y las cuentas de GitHub asociadas en febrero. Desde entonces, la empresa Funnull ha afirmado estar utilizando el servicio para Ataques a la cadena de suministro.
Polyfill.io es utilizado por la biblioteca académica JSTOR, así como por Intuit, el Foro Económico Mundial y otros.
La firma de seguridad de comercio electrónico Sansec advirtió que desde febrero “se ha descubierto que este dominio inyecta malware en dispositivos móviles a través de sitios integrados con cdn.polyfill.io” y se han generado quejas sobre actividad maliciosa. Agregó que fue inmediatamente eliminado de GitHub. repositorio.
“Debido a que el código polyfill se genera dinámicamente en base a encabezados HTTP, pueden existir múltiples vectores de ataque”, señaló Sansec.
De hecho, Andrew Betts, quien creó el proyecto de servicio de código abierto Polyfill a mediados de la década de 2010, le dijo a la gente a principios de este año que no usaran Polyfill.io en absoluto. Según tenemos entendido, Betts mantuvo el proyecto y contribuyó al repositorio de GitHub hace varios años, pero ahora afirma que ya no es necesario.
En febrero, dijo que no tenía nada que ver con la venta del nombre de dominio y posiblemente del repositorio GitHub asociado a una CDN china, y pidió a todos que eliminaran ese código de sus páginas web como medida de precaución debido al cambio de propiedad. los instó a hacerlo.
“Si eres dueño de un sitio web, cargar un script significa que tienes una relación de confianza muy profunda con ese tercero”, le dijo a Xeeted en ese momento. “¿Realmente confías en ellos?”
Poco después, otros proveedores de CDN populares, incluidos Fastly y Cloudflare, donde Betts trabaja actualmente, crearon réplicas de polyfill.io, lo que permitió a los sitios continuar usando el código sin tener que cargar contenido de empresas chinas por el momento.
“La preocupación es que los sitios web que incorporan enlaces al dominio polyfill.io original dependerán de Funnull para mantener y asegurar el proyecto subyacente para evitar el riesgo de ataques a la cadena de suministro, dijeron Sven Salow y Michael Tremante de Cloudflare en febrero.
“Tales ataques ocurren cuando el tercero subyacente se ve comprometido o modifica el código proporcionado a los usuarios finales de manera no autorizada, lo que resulta en el uso de esta herramienta. Todos los sitios web se verán comprometidos”, agregaron.
Ahora ese parece ser el caso. ®
Fuente: https://www.theregister.com/2024/06/25/polyfillio_china_crisis/