Blog Attacks

Más de 490k sitios web atacados en un ataque a la cadena de suministro web

El dominio cdn.polyfill.io está siendo utilizado actualmente en un ataque a la cadena de suministro web. Solía alojar un servicio para agregar polyfills de JavaScript

Jun 25, 2024 • 5 min read

Simon Wijckmans Founder & CEO

NOTA: ahora tenemos un artículo más completo sobre el ataque de Polyfill aquí.

El dominio cdn.polyfill.io está siendo utilizado actualmente en un ataque a la cadena de suministro web. Solía alojar un servicio para agregar polyfills de JavaScript a sitios web, pero ahora está insertando código malicioso en scripts servidos a usuarios finales.

Entre los +490k sitios web atacados, se confirmó que el dominio todavía estaba activo en el servicio de streaming de Disney, Hulu, The Guardian, Intuit y muchos más.

Acción Inmediata: Revisa tu código en busca de cualquier uso del dominio polyfill.io y elimínalo de tus aplicaciones. A continuación, explicamos cómo cside puede detectar y bloquear estas amenazas. Comienza a usar cside gratis hoy y protégete. Usa nuestro escáner de scripts para verificar qué vulnerabilidades tiene tu sitio.

Un proyecto de código abierto llamado Polyfill permite a los sitios web usar características modernas de JavaScript en navegadores antiguos al incluir solo los polyfills necesarios según el navegador del usuario. En febrero de 2024, el dominio polyfill.io fue comprado por Funnull, una empresa china. Tras la venta, el desarrollador, Andrew Betts, instó a los usuarios en Twitter a eliminar las referencias a este CDN:

If your website uses

https://t.co/3xHecLPXkB

, remove it IMMEDIATELY.

I created the polyfill service project but I have never owned the domain name and I have had no influence over its sale.

https://t.co/GYt3dhr5fI

— Andrew Betts (@triblondon)

February 25, 2024

Los proveedores de CDN más populares han creado desde entonces sus propias versiones, dando a los usuarios una opción más segura. La mayoría de los navegadores han evolucionado para hacer que esto ya no sea necesario de todos modos. Se creó un sitio web llamado Polykill para reportar esto y las posibles soluciones. Puedes usarlo para investigar si un sitio ejecuta el dominio comprometido. Al momento de escribir este artículo, no se ha actualizado con referencia a este problema.

Se encontró que el dominio inyectaba código malicioso en dispositivos a través de sitios web que usan cdn.polyfill.io. El código malicioso genera dinámicamente cargas útiles basadas en encabezados HTTP, activándose solo en dispositivos móviles específicos, evadiendo la detección, evitando usuarios administradores y retrasando la ejecución. El código también está ofuscado.

En algunos casos, los usuarios reciben archivos JavaScript manipulados, que incluyen un enlace falso de Google Analytics https://www.googie-anaiytics.com/gtags.js. Este enlace falso redirige a los usuarios a varios sitios web de apuestas deportivas y pornográficos, aparentemente según su región. Pero siendo JavaScript, podría en cualquier momento introducir nuevos ataques como formjacking, clickjacking y robo de datos más amplio.

Un sitio al que fuimos redirigidos al probar esta vulnerabilidad:

Sitio de apuestas deportivas al que el payload de polyfill.io redirigió nuestro navegador de prueba

Entre el 7 y 8 de marzo de 2024, los mantenedores del dominio agregaron un encabezado de Protección de Seguridad de Cloudflare a su sitio, como se puede ver en Internet Archive. Su propósito no fue explicado y no está claro.

Cloudflare ha confirmado desde entonces que no autorizó su uso.

Instantánea del Internet Archive de la página de polyfill.io durante el ataque

Este ataque pone en riesgo inmediato a un estimado de +100k sitios web. Cuando un dominio que alguna vez fue seguro está integrado en miles de sitios web y oculto como lo están las amenazas de JavaScript, se convierte en un camino tentador para actores maliciosos.

Presumiblemente, Funnull, el propietario actual de los dominios de Polyfill, creó una cuenta social con el mismo nombre alrededor del momento reportado en que compraron los dominios (febrero de 2024). En publicaciones en X (anteriormente Twitter), acusan a Cloudflare, los medios y otros de difamación maliciosa:

Someone has maliciously defamed us. We have no supply chain risks because all content is statically cached. Any involvement of third parties could introduce potential risks to your website,

but no one would do this as it would be jeopardize our own reputation.

We have already…— Polyfill (@Polyfill_Global)

June 26, 2024

Toma acción ahora

El servicio Polyfill en sí mismo sigue siendo sólido. Puedes alojar tu propia versión en un entorno seguro y controlado sin problemas. El problema radica en el dominio cdn.polyfill.io que debe eliminarse inmediatamente de tus sitios.

Los recursos de terceros están en una posición muy poderosa y, por lo tanto, son un objetivo de alto valor para actores maliciosos. Los CDN que alojan scripts de terceros están sujetos a ataques. En 2021 cdnjs mismo tuvo ciertas vulnerabilidades expuestas.

Con cside, las dependencias de terceros obtenidas por el navegador ya no se realizan directamente a terceros. En su lugar, viajan a través del motor de detección y optimización de cside. Haciéndolo capaz de detectar ataques altamente dirigidos contra un pequeño porcentaje de usuarios. Si se detecta algo malicioso, lo bloqueamos antes de que se sirva al usuario final.

Nuestro motor de detección es capaz de detectar este cambio en el código real y bloquearlo. Si un sitio que ejecuta cside también hubiera tenido el cdn.polyfill.io intentando cargar un script manipulado, no se habría servido al usuario.

Habrías sido alertado de inmediato y habrías sabido en el momento en que esto estaba sucediendo. También guardamos el código del script y lo desofuscamos para que puedas verificar qué hace por ti mismo.

Al momento de escribir este artículo, los feeds de amenazas no marcan este dominio. Esto subraya el hecho de que confiar únicamente en ellos es un negocio arriesgado, como mencionamos aquí.

Comienza a usar cside gratis y protégete hoy.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

El dominio cdn.polyfill.io fue vendido a Funnull a principios de 2024 y empezó a inyectar JavaScript malicioso en cientos de miles de sitios que aún lo referenciaban. Hulu, The Guardian e Intuit estuvieron entre los sitios afectados.

Elimina el script de inmediato y audita el resto de tus scripts de terceros buscando dominios abandonados o vendidos similares. Alojar tu propia build de polyfill o cambiar a un mirror de CDN verificado es la opción más segura.

Monitorea y Asegura tus Scripts de Terceros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Reservar una demo

Comenzar gratis

Comienza gratis, o prueba Business con una prueba de 14 días.

Interfaz del panel de cside mostrando monitoreo de scripts y análisis de seguridad

Las mejores soluciones de prevención de apropiación de cuentas comparadas (2026)

Suites antifraude, herramientas de fingerprinting y MFA comparadas según lo que cubren en la cadena de ataque ATO. Encuentra el stack adecuado para tu perfil de riesgo.

Cómo detener a los agentes de IA que crean cuentas falsas (Guía)

Los agentes de IA crean cuentas falsas con navegadores reales, IPs residenciales e identidades generadas. Así es la pila de señales para detenerlos.

Cómo bloquear bots de scraping de contenido basados en agentes de IA (Guía)

Los bots de scraping con IA usan navegadores reales, IPs residenciales y LLMs para extraer tus precios y contenido. Aprende a detenerlos.

Banner oscuro de cside que muestra un ataque de cadena de suministro tipo gusano en npm

El efecto bola de nieve: cómo Mini Shai-Hulud convierte npm en una red de distribución de gusanos

Mini Shai-Hulud convirtió paquetes npm en un bucle de robo de credenciales. Así se propagó la ola de AntV y qué deben vigilar los equipos.

Por qué los CAPTCHAs ya no son una defensa fiable contra bots

Los CAPTCHAs ya no son una defensa principal fiable contra bots. Aprende por qué fallan y cómo elevar el coste del atacante.

Banner ilustrado del blog sobre sanciones a Funnull, blanqueo de infraestructura y riesgo de cadena de suministro en el navegador

Funnull sancionada: lo que Polyfill[.]io reveló sobre el blanqueo de infraestructura

Las sanciones de OFAC contra Funnull muestran que Polyfill fue parte de un riesgo mayor de blanqueo de infraestructura.

Ilustración del stack de seguridad con inferencia en el dispositivo

La inferencia en el dispositivo llega a tu stack de seguridad: para bien y para mal

La IA local puede proteger datos sensibles y mejorar la defensa endpoint, pero crea nuevos riesgos de prompt injection, telemetría y navegador.

Portada oscura de cside con puntos sobre herramientas de detección de agentes de IA

4 herramientas para detectar agentes de IA en tu sitio web (prevención de fraude)

Comparación de cside, HUMAN Security, DataDome y Cloudflare para detección de agentes de IA. Descubre cómo cada herramienta aborda la prevención de fraude, precios e implementación.

Portada oscura de cside con puntos sobre bloquear bots de prueba de tarjetas con IA

Bots de prueba de tarjetas basados en agentes de IA | Cómo detenerlos

Los agentes de prueba de tarjetas con IA usan navegadores reales para validar credenciales robadas a escala. Aprenda a detectarlos y bloquearlos antes de que se complete el pago.

Portada oscura de cside con puntos sobre usos y bloqueo de navegadores stealth

Qué son los navegadores stealth (o 'anti-detect') y cuándo bloquearlos

Los navegadores stealth evaden la detección de bots. Los navegadores anti-detect falsifican huellas digitales. Aprende las señales que revelan ambos, incluso cuando parecen humanos.