Исследователи предупредили об атаке на цепочку поставок, затронувшей более 100 000 сайтов, использующих cdn.polyfill[.]io.
Дело в том, что домен приобрела китайская компания, после чего скрипт был модифицирован для перенаправления пользователей на вредоносные и мошеннические сайты.
Термином («полифил») обозначают код, реализующий какую-либо функциональность, которая не поддерживается в некоторых версиях браузеров. Например, полифил может добавлять JavaScript-функциональность, которая недоступна для старых браузеров, но уже присутствует в современных.
Сервис polyfill[.]io используется множеством сайтов, чтобы все их посетители могли пользоваться одной и той же кодовой базой, даже если их браузеры не поддерживают какие-то современные функции.
НО на этой неделе специалисты компании забили тревогу и предупредили, что в начале текущего года сервис и домен polyfill[.]io были китайской компанией Funnull, после чего скрипт был модифицирован для внедрения вредоносного кода на сайты. То есть произошла масштабная атака на цепочку поставок.
В феврале 2024 года, вскоре после новости о покупке разработчик оригинального проекта, Эндрю Беттс, , что он никогда не был владельцем polyfill[.]io и не имел к нему отношения, а всем владельцам сайтов следует немедленно избавиться от этого кода. Беттс, создавший опенсорсный проект polyfill еще в середине 2010-х годов, вообще посоветовал людям прекратить использовать polyfill[.]io, так как в современном мире в этом уже нет никакой нужды.
Дошло до того, что для снижения рисков потенциальной атаки на цепочку поставок и (где теперь работает Беттс) создали собственные зеркала сервиса, чтобы сайты могли продолжать пользоваться надежной версией.
Увы, в итоге опасения разработчика полностью оправдались: CNAME запись polyfill[.]io была изменена на polyfill[.]io.bsclink.cn, который поддерживается новыми владельцами. В результате, когда разработчики встраивали скрипты cdn.polyfill[.]io на свои сайты, они получали код непосредственно с сайта китайской компании.
Вскоре администраторы начали замечать, что новые владельцы внедряют вредоносный код, перенаправляющий посетителей на нежелательные ресурсы без ведома владельцев сайтов.
Эксперты Sansec приводят пример, в котором модифицированный скрипт используется для перенаправления пользователей на скамерские сайты, например, фейковый сайт Sportsbook. Для этого используется фальшивый домен Google analytics (www.googie-anaiytics[.]com) или редиректы типа kuurza[.]com/redirect?from=bitget.
По словам исследователей, полностью проанализировать модифицированный скрипт весьма сложно, поскольку он использует очень специфические таргетинг и устойчив к реверс-инжинирингу.
Пока пользователей перенаправляют на сайты спортивных ставок или ресурсы для взрослых (вероятно, основываясь на их местоположении), однако в любой момент могут быть реализованы новые атаки, включая перехват форм, перехват кликов и кражу данных.
В настоящее время домен cdn.polyfill[.]io и вовсе перенаправлен на Cloudflare по непонятным причинам. Однако, поскольку DNS-серверы домена остаются неизменными, владельцы могут в любой момент переключить его обратно на собственные домены.
ИБ-компания Leak Signal создала специальный сайт , который позволяет находить сайты, использующие cdn.polyfill[.]io, и предоставляет информацию о переходе на альтернативные решения.
Кроме того, компания Google начала уведомлять рекламодателей об этой атаке на цепочку поставок, предупреждая, что их целевые страницы содержат вредоносный код и могут перенаправлять посетителей на другие ресурсы без ведома или разрешения со стороны владельца сайта.
Компания предупреждает, что Bootcss, Bootcdn и Staticfile так же вызывают нежелательные перенаправления, что потенциально добавляет тысячи, если не сотни тысяч сайтов в список пострадавших.
Google сообщает, что если при регулярной проверке будут обнаружены такие редиректы, соответствующая реклама будет отклонена. Многие рекламодатели уже жалуются на , что Google не принимает их рекламу примерно с 15 июня, если обнаруживает редирект googie-anaiytics.
Дело в том, что домен приобрела китайская компания, после чего скрипт был модифицирован для перенаправления пользователей на вредоносные и мошеннические сайты.
Термином («полифил») обозначают код, реализующий какую-либо функциональность, которая не поддерживается в некоторых версиях браузеров. Например, полифил может добавлять JavaScript-функциональность, которая недоступна для старых браузеров, но уже присутствует в современных.
Сервис polyfill[.]io используется множеством сайтов, чтобы все их посетители могли пользоваться одной и той же кодовой базой, даже если их браузеры не поддерживают какие-то современные функции.
НО на этой неделе специалисты компании забили тревогу и предупредили, что в начале текущего года сервис и домен polyfill[.]io были китайской компанией Funnull, после чего скрипт был модифицирован для внедрения вредоносного кода на сайты. То есть произошла масштабная атака на цепочку поставок.
В феврале 2024 года, вскоре после новости о покупке разработчик оригинального проекта, Эндрю Беттс, , что он никогда не был владельцем polyfill[.]io и не имел к нему отношения, а всем владельцам сайтов следует немедленно избавиться от этого кода. Беттс, создавший опенсорсный проект polyfill еще в середине 2010-х годов, вообще посоветовал людям прекратить использовать polyfill[.]io, так как в современном мире в этом уже нет никакой нужды.
Дошло до того, что для снижения рисков потенциальной атаки на цепочку поставок и (где теперь работает Беттс) создали собственные зеркала сервиса, чтобы сайты могли продолжать пользоваться надежной версией.
Увы, в итоге опасения разработчика полностью оправдались: CNAME запись polyfill[.]io была изменена на polyfill[.]io.bsclink.cn, который поддерживается новыми владельцами. В результате, когда разработчики встраивали скрипты cdn.polyfill[.]io на свои сайты, они получали код непосредственно с сайта китайской компании.
Вскоре администраторы начали замечать, что новые владельцы внедряют вредоносный код, перенаправляющий посетителей на нежелательные ресурсы без ведома владельцев сайтов.
Эксперты Sansec приводят пример, в котором модифицированный скрипт используется для перенаправления пользователей на скамерские сайты, например, фейковый сайт Sportsbook. Для этого используется фальшивый домен Google analytics (www.googie-anaiytics[.]com) или редиректы типа kuurza[.]com/redirect?from=bitget.
По словам исследователей, полностью проанализировать модифицированный скрипт весьма сложно, поскольку он использует очень специфические таргетинг и устойчив к реверс-инжинирингу.
Пока пользователей перенаправляют на сайты спортивных ставок или ресурсы для взрослых (вероятно, основываясь на их местоположении), однако в любой момент могут быть реализованы новые атаки, включая перехват форм, перехват кликов и кражу данных.
В настоящее время домен cdn.polyfill[.]io и вовсе перенаправлен на Cloudflare по непонятным причинам. Однако, поскольку DNS-серверы домена остаются неизменными, владельцы могут в любой момент переключить его обратно на собственные домены.
ИБ-компания Leak Signal создала специальный сайт , который позволяет находить сайты, использующие cdn.polyfill[.]io, и предоставляет информацию о переходе на альтернативные решения.
Кроме того, компания Google начала уведомлять рекламодателей об этой атаке на цепочку поставок, предупреждая, что их целевые страницы содержат вредоносный код и могут перенаправлять посетителей на другие ресурсы без ведома или разрешения со стороны владельца сайта.
Компания предупреждает, что Bootcss, Bootcdn и Staticfile так же вызывают нежелательные перенаправления, что потенциально добавляет тысячи, если не сотни тысяч сайтов в список пострадавших.
Google сообщает, что если при регулярной проверке будут обнаружены такие редиректы, соответствующая реклама будет отклонена. Многие рекламодатели уже жалуются на , что Google не принимает их рекламу примерно с 15 июня, если обнаруживает редирект googie-anaiytics.
