Skip to main content
Blog
Blog Attacks

Más de 490k sitios web atacados en un ataque a la cadena de suministro web

El dominio cdn.polyfill[.]io está siendo usado en un ataque a la cadena de suministro web. Fuimos los primeros en reportar la escala real: más de 490.000 sitios afectados.

Jun 25, 2024 6 min read
more-than-490k-websites-image-cover

NOTA: ahora tenemos un artículo más completo sobre el ataque de Polyfill, además de una cronología y análisis completos de Polyfill.io (2024–2026).

El dominio cdn.polyfill[.]io está siendo utilizado actualmente en un ataque a la cadena de suministro web. Solía alojar un servicio para agregar polyfills de JavaScript a sitios web, pero ahora está insertando código malicioso en scripts servidos a usuarios finales.

Entre los +490k sitios web atacados, se confirmó que el dominio todavía estaba activo en el servicio de streaming de Disney, Hulu, The Guardian, Intuit y muchos más.

Acción Inmediata: Revisa tu código en busca de cualquier uso del dominio polyfill.io y elimínalo de tus aplicaciones. A continuación, explicamos cómo cside puede detectar y bloquear estas amenazas. Comienza a usar cside gratis hoy y protégete. Usa nuestro escáner de scripts para verificar qué vulnerabilidades tiene tu sitio.

Un proyecto de código abierto llamado Polyfill permite a los sitios web usar características modernas de JavaScript en navegadores antiguos al incluir solo los polyfills necesarios según el navegador del usuario. En febrero de 2024, el dominio polyfill.io fue comprado por Funnull, una empresa china. Tras la venta, el desarrollador, Andrew Betts, instó a los usuarios en Twitter a eliminar las referencias a este CDN:

Si tu sitio web usa

https://t.co/3xHecLPXkB

, elimínalo INMEDIATAMENTE.

Yo creé el proyecto del servicio polyfill pero nunca he sido dueño del nombre de dominio y no he tenido ninguna influencia sobre su venta.

https://t.co/GYt3dhr5fI

— Andrew Betts (@triblondon)

25 de febrero de 2024

Los proveedores de CDN más populares han creado desde entonces sus propias versiones, dando a los usuarios una opción más segura. La mayoría de los navegadores han evolucionado para hacer que esto ya no sea necesario de todos modos. Se creó un sitio web llamado Polykill para reportar esto y las posibles soluciones. Puedes usarlo para investigar si un sitio ejecuta el dominio comprometido. Al momento de escribir este artículo, no se ha actualizado con referencia a este problema.

Se encontró que el dominio inyectaba código malicioso en dispositivos a través de sitios web que usan cdn.polyfill[.]io. El código malicioso genera dinámicamente cargas útiles basadas en encabezados HTTP, activándose solo en dispositivos móviles específicos, evadiendo la detección, evitando usuarios administradores y retrasando la ejecución. El código también está ofuscado. El proveedor de seguridad Sansec documentó el payload en su informe forense. (El CVE-2024-38526 relacionado se asignó a pdoc, la herramienta de documentación de Python que cargaba polyfill.io, no al incidente en su conjunto.)

En algunos casos, los usuarios reciben archivos JavaScript manipulados, que incluyen un enlace falso de Google Analytics googie-anaiytics[.]com/gtags.js. Este enlace falso redirige a los usuarios a varios sitios web de apuestas deportivas y pornográficos, aparentemente según su región. Pero siendo JavaScript, podría en cualquier momento introducir nuevos ataques como formjacking, clickjacking y robo de datos más amplio.

Un sitio al que fuimos redirigidos al probar esta vulnerabilidad:

Sitio de apuestas deportivas al que el payload de polyfill.io redirigió nuestro navegador de prueba

Entre el 7 y 8 de marzo de 2024, los mantenedores del dominio agregaron un encabezado de Protección de Seguridad de Cloudflare a su sitio, como se puede ver en Internet Archive. Su propósito no fue explicado y no está claro.

Cloudflare ha confirmado desde entonces que no autorizó su uso.

Instantánea del Internet Archive de la página de polyfill.io durante el ataque

Este ataque pone en riesgo inmediato a cientos de miles de sitios web. Los primeros reportes hablaron de 100.000, pero esa cifra era simplemente el límite de resultados por defecto de la herramienta de búsqueda PublicWWW. El recuento real fue de más de 490.000. (Censys contó de forma independiente 384.773 hosts que aún referenciaban el dominio el 2024-07-02.) Cuando un dominio que alguna vez fue seguro está integrado en tantos sitios web y oculto como lo están las amenazas de JavaScript, se convierte en un camino tentador para actores maliciosos.

Presumiblemente, Funnull, el propietario actual de los dominios de Polyfill, creó una cuenta social con el mismo nombre alrededor del momento reportado en que compraron los dominios (febrero de 2024). En publicaciones en X (anteriormente Twitter), acusan a Cloudflare, los medios y otros de difamación maliciosa:

Alguien nos ha difamado maliciosamente. No tenemos riesgos en la cadena de suministro porque todo el contenido está almacenado en caché estáticamente. Cualquier participación de terceros podría introducir riesgos potenciales a tu sitio web,

pero nadie haría esto ya que pondría en peligro nuestra propia reputación.

Ya hemos…— Polyfill (@Polyfill_Global)

26 de junio de 2024

Toma acción ahora

El servicio Polyfill en sí mismo sigue siendo sólido. Puedes alojar tu propia versión en un entorno seguro y controlado sin problemas. El problema radica en el dominio cdn.polyfill[.]io que debe eliminarse inmediatamente de tus sitios.

Los recursos de terceros están en una posición muy poderosa y, por lo tanto, son un objetivo de alto valor para actores maliciosos. Los CDN que alojan scripts de terceros están sujetos a ataques. En 2021 cdnjs mismo tuvo ciertas vulnerabilidades expuestas.

Nota del editor (2026): La sección de abajo describe la arquitectura original de cside de 2024. cside ahora realiza una monitorización completa de los scripts del lado del cliente — un único fragmento de JavaScript de primera parte que observa lo que los scripts de terceros hacen realmente en los navegadores de visitantes reales, incluidos los payloads condicionales, segmentados por geolocalización y por hora (como este) que muestran código limpio a los escáneres y rastreadores. El proxy de entrega de scripts descrito abajo se retiró a principios de 2026.

Con cside, las dependencias de terceros obtenidas por el navegador ya no se realizan directamente a terceros. En su lugar, viajan a través del motor de detección y optimización de cside. Haciéndolo capaz de detectar ataques altamente dirigidos contra un pequeño porcentaje de usuarios. Si se detecta algo malicioso, lo bloqueamos antes de que se sirva al usuario final.

Nuestro motor de detección es capaz de detectar este cambio en el código real y bloquearlo. Si un sitio que ejecuta cside también hubiera tenido el cdn.polyfill[.]io intentando cargar un script manipulado, no se habría servido al usuario.

Habrías sido alertado de inmediato y habrías sabido en el momento en que esto estaba sucediendo. También guardamos el código del script y lo desofuscamos para que puedas verificar qué hace por ti mismo.

Al momento de escribir este artículo, los feeds de amenazas no marcan este dominio. Esto subraya el hecho de que confiar únicamente en ellos es un negocio arriesgado, como mencionamos aquí.

Una redirección fue solo lo que se capturó. Más tarde explicamos por qué el ataque de Polyfill fue mucho más que un simple ataque de redirección, y en 2025 la OFAC sancionó a Funnull, la empresa detrás del dominio.

Comienza a usar cside gratis y protégete hoy.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

El dominio cdn.polyfill[.]io fue vendido a Funnull a principios de 2024 y empezó a inyectar JavaScript malicioso en cientos de miles de sitios que aún lo referenciaban. Hulu, The Guardian e Intuit estuvieron entre los sitios afectados.

Elimina el script de inmediato y audita el resto de tus scripts de terceros buscando dominios abandonados o vendidos similares. Alojar tu propia build de polyfill o cambiar a un mirror de CDN verificado es la opción más segura.

Monitoriza y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitorización de scripts y análisis de seguridad
Related Articles
Reservar una demo