REMARQUE : nous avons maintenant un article plus complet sur l'attaque Polyfill ici.
Le domaine cdn.polyfill.io est actuellement utilisé dans une attaque de la chaîne d'approvisionnement web. Il hébergeait auparavant un service pour ajouter des polyfills JavaScript aux sites web, mais insère maintenant du code malveillant dans les scripts servis aux utilisateurs finaux.
Parmi les +490 000 sites web ciblés, il a été confirmé que le domaine était toujours actif sur le service de streaming Hulu appartenant à Disney, The Guardian, Intuit et bien d'autres.
Action immédiate : Vérifiez votre code pour toute utilisation du domaine polyfill.io et supprimez-le de vos applications. Ci-dessous, nous expliquons comment cside peut détecter et bloquer de telles menaces. Commencez à utiliser cside gratuitement dès aujourd'hui et sécurisez-vous. Utilisez notre scanner de scripts pour vérifier quelles vulnérabilités votre site présente.
Un projet open-source appelé Polyfill permet aux sites web d'utiliser des fonctionnalités JavaScript modernes dans les navigateurs plus anciens en incluant uniquement les polyfills nécessaires en fonction du navigateur de l'utilisateur. En février 2024, le domaine polyfill.io a été acheté par Funnull, une entreprise chinoise. Suite à la vente, le développeur, Andrew Betts, a exhorté les utilisateurs sur Twitter à supprimer les références à ce CDN :
Si votre site web utilise
, supprimez-le IMMÉDIATEMENT.
J'ai créé le projet de service polyfill mais je n'ai jamais possédé le nom de domaine et je n'ai eu aucune influence sur sa vente.
— Andrew Betts (@triblondon)
Les fournisseurs de CDN les plus populaires ont depuis créé leurs propres forks, offrant aux utilisateurs un choix plus sûr. La plupart des navigateurs ont évolué pour rendre cela de toute façon inutile. Un site web appelé Polykill a été créé pour signaler cela et les correctifs possibles. Vous pouvez l'utiliser pour rechercher si un site exécute le domaine compromis. Au moment de la rédaction de cet article, il n'a pas été mis à jour avec une référence à ce problème.
Le domaine a été trouvé en train d'injecter du code malveillant dans les appareils via des sites web utilisant cdn.polyfill.io. Le code malveillant génère dynamiquement des charges utiles basées sur les en-têtes HTTP, s'activant uniquement sur des appareils mobiles spécifiques, échappant à la détection, évitant les utilisateurs administrateurs et retardant l'exécution. Le code est également obfusqué.
Dans certains cas, les utilisateurs reçoivent des fichiers JavaScript altérés, qui incluent un faux lien Google Analytics https://www.googie-anaiytics.com/gtags.js. Ce faux lien redirige les utilisateurs vers divers sites de paris sportifs et pornographiques, apparemment en fonction de leur région. Mais étant du JavaScript, cela pourrait à tout moment introduire de nouvelles attaques comme le formjacking, le clickjacking et un vol de données plus large.
Un site vers lequel nous avons été redirigés lors du test de cette vulnérabilité :
Entre le 7 et le 8 mars 2024, les mainteneurs du domaine ont ajouté un en-tête Cloudflare Security Protection à leur site, comme on peut le voir sur Internet Archive. Son objectif n'a pas été expliqué et n'est pas clair.
Cloudflare a depuis confirmé qu'ils n'ont pas autorisé son utilisation.
Cette attaque place un nombre estimé de +100 000 sites web en risque immédiat. Lorsqu'un domaine autrefois sûr est intégré dans des milliers de sites web et dissimulé comme le sont les menaces JavaScript, il devient un chemin tentant pour les acteurs malveillants.
Vraisemblablement, Funnull, le propriétaire actuel des domaines de Polyfill, a créé un compte social avec le même nom vers la période signalée de l'achat des domaines (février 2024). Dans des publications sur X (anciennement Twitter), ils accusent Cloudflare, les médias et d'autres de diffamation malveillante :
Quelqu'un nous a diffamés de manière malveillante. Nous n'avons aucun risque de chaîne d'approvisionnement car tout le contenu est mis en cache de manière statique. Toute implication de tiers pourrait introduire des risques potentiels pour votre site web,
mais personne ne ferait cela car cela mettrait en péril notre propre réputation.
Nous avons déjà…— Polyfill (@Polyfill_Global)
Agissez maintenant
Le service Polyfill lui-même est toujours solide. Vous pouvez héberger votre propre version dans un environnement sûr et contrôlé sans problème. Le problème réside dans le domaine cdn.polyfill.io qui devrait être immédiatement supprimé de vos sites.
Les ressources tierces sont dans une position très puissante et donc une cible de grande valeur pour les acteurs malveillants. Les CDN hébergeant des scripts tiers sont sujets aux attaques. En 2021, cdnjs lui-même a eu certaines vulnérabilités exposées.
Avec cside, les dépendances tierces récupérées par le navigateur ne sont plus effectuées directement vers le tiers. Au lieu de cela, elles transitent par le moteur de détection et d'optimisation de cside. Ce qui lui permet de détecter des attaques hautement ciblées contre un petit pourcentage d'utilisateurs. Si quelque chose de malveillant est détecté, nous le bloquons avant qu'il ne soit servi à l'utilisateur final.
Notre moteur de détection est capable de repérer ce changement dans le code réel et de l'empêcher de se produire. Si un site exécutant cside avait également eu le cdn.polyfill.io essayant de charger un script altéré, il n'aurait pas été servi à l'utilisateur.
Vous auriez été alerté immédiatement et auriez su à la seconde où cela se passait. Nous sauvegardons également le code du script et le désobfusquons afin que vous puissiez vérifier vous-même ce qu'il fait.
Au moment de la rédaction de cet article, les flux de menaces ne signalent pas ce domaine. Cela souligne le fait que se fier uniquement à ceux-ci est une affaire risquée, comme nous l'avons mentionné ici.
Commencez à utiliser cside gratuitement et protégez-vous dès aujourd'hui.
