Blog Attacks

Meer dan 490k websites doelwit van web supply chain-aanval

Het domein cdn.polyfill[.]io wordt gebruikt in een web supply chain-aanval. Wij waren de eersten die de werkelijke omvang rapporteerden: meer dan 490.000 getroffen websites.

Jun 25, 2024 • 6 min read

Simon Wijckmans Founder & CEO

OPMERKING: we hebben nu een uitgebreider artikel over de Polyfill-aanval, plus een volledige Polyfill.io-tijdlijn en analyse (2024–2026).

Het domein cdn.polyfill[.]io wordt momenteel gebruikt in een web supply chain-aanval. Het hoste vroeger een service voor het toevoegen van JavaScript polyfills aan websites, maar voegt nu kwaadaardige code in scripts in die aan eindgebruikers worden geserveerd.

Onder de +490k websites die doelwit zijn, werd bevestigd dat het domein nog steeds actief was op de Disney-streamingdienst Hulu, The Guardian, Intuit en vele anderen.

Onmiddellijke actie: Controleer uw code op elk gebruik van het polyfill.io-domein en verwijder het uit uw applicaties. Hieronder leggen we uit hoe cside dergelijke bedreigingen kan detecteren en blokkeren. Begin vandaag nog gratis met cside en beveilig uzelf. Gebruik onze scriptscanner om te controleren welke kwetsbaarheden uw site heeft.

Een open-source project genaamd Polyfill stelt websites in staat om moderne JavaScript-functies in oudere browsers te gebruiken door alleen de benodigde polyfills op te nemen op basis van de browser van de gebruiker. In februari 2024 werd het domein polyfill.io gekocht door Funnull, een Chinees bedrijf. Na de verkoop drong de ontwikkelaar, Andrew Betts, er bij gebruikers op Twitter op aan om verwijzingen naar deze CDN te verwijderen:

If your website uses

https://t.co/3xHecLPXkB

, remove it IMMEDIATELY.

I created the polyfill service project but I have never owned the domain name and I have had no influence over its sale.

https://t.co/GYt3dhr5fI

— Andrew Betts (@triblondon)

February 25, 2024

De populairste CDN-providers hebben sindsdien hun eigen forks gemaakt, waardoor gebruikers een veiligere keuze hebben. De meeste browsers zijn zodanig geëvolueerd dat dit sowieso niet meer nodig is. Een website genaamd Polykill werd gemaakt om dit te rapporteren en de mogelijke oplossingen te bieden. U kunt het gebruiken om te onderzoeken of een site het gecompromitteerde domein gebruikt. Op het moment van schrijven van dit artikel is het niet bijgewerkt met verwijzing naar dit probleem.

Het domein werd betrapt op het injecteren van kwaadaardige code in apparaten via websites die cdn.polyfill[.]io gebruiken. De kwaadaardige code genereert dynamisch payloads op basis van HTTP-headers, activeert alleen op specifieke mobiele apparaten, ontwijkt detectie, vermijdt beheerders en vertraagt de uitvoering. De code is ook geobfusceerd. Beveiligingsleverancier Sansec documenteerde de payload in zijn forensische rapport. (De gerelateerde CVE-2024-38526 werd toegewezen aan pdoc, de Python-documentatietool die polyfill.io laadde, niet aan het incident als geheel.)

In sommige gevallen ontvangen gebruikers gemanipuleerde JavaScript-bestanden, die een nep Google Analytics-link bevatten googie-anaiytics[.]com/gtags.js. Deze neplink leidt gebruikers om naar verschillende sportwedden- en pornografische websites, schijnbaar op basis van hun regio. Maar omdat dit JavaScript is, kunnen op elk moment nieuwe aanvallen worden geïntroduceerd zoals formjacking, clickjacking en bredere gegevensdiefstal.

Een site waarnaar we werden omgeleid bij het testen van deze kwetsbaarheid:

Sportweddenschappen-site waar de polyfill.io-payload onze testbrowser naartoe leidde

Tussen 7 en 8 maart 2024 voegden de domeinbeheerders een Cloudflare Security Protection-header toe aan hun site, zoals te zien is op het Internet Archive. Het doel ervan werd niet uitgelegd en is niet duidelijk.

Cloudflare heeft sindsdien bevestigd dat ze het gebruik ervan niet hebben geautoriseerd.

Internet Archive-snapshot van de polyfill.io-startpagina tijdens de aanval

Deze aanval plaatst honderdduizenden websites in onmiddellijk gevaar. Vroege berichten spraken van 100.000, maar dat was simpelweg de standaard resultaatlimiet van de zoektool PublicWWW. Het echte aantal was meer dan 490.000. (Censys telde onafhankelijk 384.773 hosts die op 2024-07-02 nog steeds naar het domein verwezen.) Wanneer een ooit veilig domein is ingebed in zoveel websites en verborgen is zoals JavaScript-bedreigingen zijn, wordt het een verleidelijk pad voor kwaadwillende actoren.

Vermoedelijk heeft Funnull, de huidige eigenaar van de domeinen van Polyfill, rond de gerapporteerde tijd dat ze de domeinen kochten (februari 2024) een social media-account met dezelfde naam aangemaakt. In berichten op X (voorheen Twitter) beschuldigen ze Cloudflare, de media en anderen van kwaadwillige laster:

Someone has maliciously defamed us. We have no supply chain risks because all content is statically cached. Any involvement of third parties could introduce potential risks to your website,

but no one would do this as it would be jeopardize our own reputation.

We have already…— Polyfill (@Polyfill_Global)

June 26, 2024

Onderneem nu actie

De Polyfill-service zelf is nog steeds solide. U kunt uw eigen versie hosten in een veilige en gecontroleerde omgeving zonder problemen. Het probleem ligt bij het domein cdn.polyfill[.]io dat onmiddellijk van uw sites moet worden verwijderd.

Third-party bronnen bevinden zich in een zeer krachtige positie en zijn dus een waardevol doelwit voor kwaadwillende actoren. CDN's die third-party scripts hosten zijn onderhevig aan aanvallen. In 2021 werden bij cdnjs zelf bepaalde kwetsbaarheden blootgelegd.

Redactionele noot (2026): De sectie hieronder beschrijft de oorspronkelijke architectuur van cside uit 2024. cside voert nu volledige client-side scriptmonitoring uit — een enkel first-party JavaScript-snippet dat observeert wat third-party scripts daadwerkelijk doen in de browsers van echte bezoekers, inclusief de voorwaardelijke, geo- en tijdgebonden payloads (zoals deze) die schone code tonen aan scanners en crawlers. De script-delivery proxy die hieronder wordt beschreven, werd begin 2026 uitgefaseerd.

Met cside worden door de browser opgehaalde third-party afhankelijkheden niet langer rechtstreeks naar de derde partij gemaakt. In plaats daarvan reizen ze door de cside detectie- en optimalisatie-engine. Hierdoor kunnen zeer gerichte aanvallen tegen een klein percentage gebruikers worden gedetecteerd. Als er iets kwaadaardigs wordt gedetecteerd, blokkeren we het voordat het aan de eindgebruiker wordt geserveerd.

Onze detectie-engine is in staat om deze wijziging in de daadwerkelijke code te detecteren en te blokkeren. Als een site met cside ook het cdn.polyfill[.]io had laten proberen om een gemanipuleerd script te laden, zou het niet aan de gebruiker zijn geserveerd.

U zou meteen gewaarschuwd zijn en had geweten op het moment dat dit aan de gang was. We slaan ook de code van het script op en deobfusceren deze zodat u zelf kunt controleren wat het doet.

Op het moment van schrijven van dit artikel markeren threat feeds dit domein niet. Dit onderstreept het feit dat uitsluitend vertrouwen op deze feeds riskant is, zoals we hier vermeldden.

Een omleiding was alleen wat er werd betrapt. We legden later uit waarom de Polyfill-aanval meer was dan alleen een omleidingsaanval, en in 2025 sanctioneerde OFAC Funnull, het bedrijf achter het domein.

Begin vandaag nog gratis met cside en bescherm uzelf.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Het domein cdn.polyfill[.]io werd begin 2024 verkocht aan Funnull en begon kwaadaardig JavaScript te injecteren in de honderdduizenden sites die er nog naar verwezen. Hulu, The Guardian en Intuit hoorden bij de getroffen prominente sites.

Verwijder het script meteen en audit je andere third-party scripts op vergelijkbare verlaten of verkochte domeinen. Een eigen polyfill-build hosten of overstappen naar een gecontroleerde CDN-mirror is het veiligst.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over gecompromitteerde affiliatescripts die casino-omzet stelen

Hoe gecompromitteerde affiliate scripts online casino-inkomsten stelen

Gecompromitteerde affiliate scripts leiden spelers om en stelen commissies op casinopagina's, onzichtbaar en op grote schaal.

Donkere blogomslag met drie aanvalsvectoren van browser extensions: omleidingen naar phishing-klonen, diefstal van sessietokens en herschrijving van betalingsvelden op DOM-niveau

Hoe browser extensions online casinospelers aanvallen: wat operators kunnen doen

Browser extensions kunnen sessietokens stelen en betalingen kapen op casinosites. Zo werken ze, waarom servers het missen en hoe u ze detecteert.

Hoe CCBot (de AI-Crawler van Common Crawl) te Blokkeren

CCBot voedt de Common Crawl-datasets die worden gebruikt om GPT-3, BLOOM, LLaMA en veel andere AI-modellen te trainen. Leer hoe u het blokkeert en wat blokkeren daadwerkelijk doet.

Abstracte donkerblauwe visualisatie van netwerkverbindingen die door een ronde gateway stromen

TLS-timeouts beter afhandelen in de cside Edge

Hoe cside de TLS-betrouwbaarheid in de Rust-Edge verbeterde door handshake-werk uit het Axum-accept-pad te halen en in begrensde Tokio-taken te plaatsen.

Hoe Blokkeer Je ClaudeBot op Je Website

ClaudeBot crawlt je site om Anthropics Claude-modellen te trainen. Zo blokkeer je het met robots.txt en IP-ranges, en wat de blokkering nog steeds mist.

Hoe Voorkom Je het Aanmaken van Nepaccounts: Waarom Detectie op Browserniveau Vangt Wat E-mailverificatie Mist

E-mailverificatie bevestigt dat een mailbox bestaat. Het kan de browser niet zien. Daarom vangt detectie op browserniveau nepaccounts die het mist.

Polyfill.io supply chain-aanval: volledige tijdlijn, analyse en lessen (2024–2026)

Een volledige, onderbouwde tijdlijn van de Polyfill.io supply chain-aanval, van de domeinverkoop in 2024 tot de Funnull-sancties in 2025, en hoe je het vandaag verwijdert.

Donkere cside blogcover met blauwe pixelachtergrond en drie vinkjes: waarom snelheidsregels AI-kaarttesters missen, browsersignalen die hen blootleggen en betaling blokkeren vóór checkout

Hoe AI-Kaarttesters te Blokkeren

AI-kaarttesters tasten betalingsstromen af met echte browsers. Leer de browsersignalen die ze blootleggen voordat een transactie wordt voltooid.

cside-beveiligingsplatform dat meerdere AI-agentverbindingen classificeert — browserlaag agentdetectie en vertrouwensbeheer

Hoe u een AI-agentdetectieoplossing kiest

Vijfstappengids voor CISO's die AI-agentdetectieoplossingen evalueren: architectuur, classificatie, leveranciersprofielen en POC-methodologie.

Donkere cside-blogomslag met een browserinterface die bot- en AI-agentverkeer filtert naar vertrouwde en geblokkeerde paden

Beste Bot- en Agentvertrouwensbeheerplatforms Vergeleken (2026)

Forrester definieert de categorie. cside, DataDome, HUMAN Security, Kasada en Arkose Labs vergeleken op detectielaag, intentie en agentische dekking.