Blog Attacks

De Polyfill[.]io-aanval - Meer dan alleen een omleidingsaanval

Een omleiding was alleen wat er werd betrapt. Met controle over één script van derden op een half miljoen sites was veel erger mogelijk. Dit is waarom het ertoe deed.

Dec 06, 2024 • 5 min read

Simon Wijckmans Founder & CEO

Toen wij en nieuwsmedia de Polyfill-aanval rapporteerden, waren de reacties verrassend lauw. Dit had mogelijk te maken met het zichtbare resultaat: een eenvoudige omleiding naar obscure websites. (Voor de volledige chronologie, zie onze complete Polyfill.io-tijdlijn.)

Maar, zoals we in onze post-mortem beschreven, zijn de potentiële gevolgen veel ernstiger:

"Hier koos de kwaadwillende ervoor om gebruikers alleen door te sturen naar websites voor volwassenen en gokken, maar er had veel erger kunnen gebeuren. Toetsaanslagen afluisteren in een klein percentage van sessies op basis van geolocatie en tijdstip, het injecteren van malware, het minen van cryptocurrency of het herschrijven van knoppen op sites om door te verwijzen naar nep-betaalportalen.

Van een simpele omleiding tot het onderscheppen van creditcardgegevens: client-side JavaScript-aanvallen kunnen het allemaal. De Polyfill-aanval had veel meer schade kunnen aanrichten — in zekere zin hadden we geluk. Laat dit een herinnering zijn: we moeten onze client-side scripts in de gaten houden."

De realiteit is dat er hoogstwaarschijnlijk meer is gebeurd.

Nieuwe inzichten over de domeintransfer

Het domein waarop het script werd gehost, werd verkocht aan een door Chinezen geleid bedrijf genaamd Funnull. Ongeveer zes weken later begonnen de omleidingen, en het incident werd herkend als een aanval. Beveiligingsbedrijf Sansec publiceerde zijn forensische analyse van de omleidingspayload. (De gerelateerde CVE-2024-38526 werd toegewezen aan pdoc, de Python-documentatietool die polyfill.io laadde, niet aan het incident als geheel.)

Onlangs onthulde een anonieme bron dat het domein polyfill[.]io — het middelpunt van de aanval — was verkocht voor een "levensveranderende som geld."

Het Polyfill-script was oorspronkelijk gemaakt door Andrew Betts en Jake Champion. Andrew Betts plaatste een (inmiddels verwijderde) tweet waarin hij de verkoop erkende en toegaf er geen invloed op te hebben gehad.

Een andere X-gebruiker, John Schulz, ontdekte een inmiddels verwijderde aankondiging van Funnull waarin Jake Champion werd genoemd als de persoon die het domein aan hen had overgedragen:

Took me a bit to find it, but here's the announcement pic.twitter.com/9sdSboOu7l
— John Schulz (@JFSIII) February 24, 2024

Een inmiddels verwijderde tweet van Jake Champion bevestigt dat hij het domein persoonlijk aan Funnull heeft overgedragen.

Mogelijke doemscenario's

De aanval werd ontdekt doordat gebruikers werden doorgestuurd naar websites voor volwassenen en gokken. Maar als het domein werd verkocht voor een "levensveranderende som", lijkt het onwaarschijnlijk dat het uitsluitend werd ingezet voor zo'n basale aanval.

Wekenlang trof deze aanval een half miljoen websites, waaronder Intuit, The Guardian, Hulu en The Verge.

Hieronder volgen enkele potentiële doemscenario's die hadden kunnen worden uitgevoerd door controle te krijgen over één enkel JavaScript-bestand van een derde partij.

DDoS-aanval

Aanvallers kunnen IP-adressen van bezoekers van een half miljoen websites verzamelen en hun apparaten inzetten om verzoeken naar een willekeurig doelwit te sturen, waarmee een van de grootste DDoS-aanvallen ooit wordt gecreëerd. Dit kan grote instellingen, zowel privaat als overheidsinstanties, urenlang platleggen.

Workday-aanval

Aanvallers kunnen medewerkers verleiden hun Workday-inloggegevens te delen, waardoor ongeautoriseerde toegang tot backendsystemen wordt verkregen, of simpelweg hun sessietoken stelen. Dit kan leiden tot:

Manipulatie van salarisadministratie
Diefstal van personeelsgegevens
Toegang tot gevoelige HR-data
… en meer

Willekeurige inhoud op een webpagina herschrijven

Op geïnfecteerde nieuwssites kunnen aanvallers inhoud herschrijven om:

Reacties of paniek uit te lokken
De publieke opinie te manipuleren
Narratieven rond controversiële onderwerpen te veranderen
… en meer

Onderscheppen van persoonsgegevens en creditcardgegevens

Client-side aanvallen richten zich vaak op het verzamelen van persoonsgegevens (PII) en betaalgegevens. Met meer dan een half miljoen getroffen websites, waaronder veel met afrekenformulieren, kunnen aanvallers op grote schaal betaalgegevens stelen.

Andere websites infecteren

Een geïnfecteerde site kan kwaadaardige scripts hosten, waardoor de aanval zich verder verspreidt. Deze tactiek bemoeilijkt detectie en inperking. Deze techniek wordt vaak gebruikt bij client-side inbreuken, zoals te zien bij Schrwaa[.].com (veilige link naar een artikel).

Crypto minen in de browser

Cryptojacking — het dwingen van browsers van gebruikers om cryptocurrency te minen — is een goed gedocumenteerde tactiek. Als dit wordt uitgevoerd op een half miljoen drukbezochte websites, kunnen aanvallers enorm profiteren van miljoenen dagelijkse bezoekers. Lees meer over de BrowseAloud- en de Copay event-stream-aanvallen voor recente voorbeelden.

Een en-scenario

Het is belangrijk te benadrukken dat deze scenario's niet op zichzelf staan — ze kunnen gelijktijdig plaatsvinden. De omleidingen hebben al plaatsgevonden, maar de andere scenario's kunnen tegelijkertijd actief zijn geweest.

Zonder client-side monitoring is het onmogelijk dit te weten.

Om precies te zijn over het bewijs: de enige payload die onderzoekers vastlegden en decodeerden, was de omleiding. Een onafhankelijke deobfuscatie door SecureLayer7 vond geen vastgelegd bewijs van het oogsten van inloggegevens, keystroke logging of het lekken van persoonsgegevens, en Sansecs forensische onthulling documenteerde hetzelfde gedrag dat zich tot omleiding beperkte. De bovenstaande scenario's zijn daarom capaciteit, geen bevestigde gebeurtenissen — maar omdat het script voor elk verzoek opnieuw werd opgebouwd, zou een gerichte variant op gegevensdiefstal nooit in een publieke scan verschijnen. Omleiding: bewezen. Stille, gerichte diefstal: aannemelijk door het ontwerp, nooit vastgelegd.

Deze onzekerheid is de reden waarom we cside zijn gestart. Hoewel we niet elke aanval wereldwijd kunnen zien, monitoren we scripts van derden op uw site om aanvallen zoals deze te detecteren en te voorkomen dat ze uw gebruikers schaden.

Laten we hopen dat de omleiding het ergste was. Maar het feit dat er veel erger had kunnen gebeuren, is reden genoeg om actie te ondernemen. In 2025 sanctioneerde OFAC Funnull voor de bredere operatie achter dit domein, een herinnering dat de mensen die het runden geen hobbyisten waren. Bescherm uw site binnen enkele seconden, gratis, door u vandaag nog aan te melden.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

Het gedrag dat werd vastgelegd en gedecodeerd, was een omleiding naar scam- en goksites. Onafhankelijke analyse van de herstelde payload vond alleen omleidingslogica. Maar de service genereerde per verzoek code, dus een variant op gegevensdiefstal die op specifieke bezoekers was gemikt kon niet worden uitgesloten en zou niet in publieke scans verschijnen. Zonder client-side monitoring had een site-eigenaar geen manier om te weten wat er voor zijn gebruikers draaide.

Een first-party script kan alles op de pagina die het laadt lezen en herschrijven, inclusief formulieren, cookies, sessietokens en inhoud. Met controle over één script op ongeveer een half miljoen sites kon een operator formjacking, diefstal van inloggegevens, manipulatie van inhoud, cryptojacking of grootschalige DDoS proberen. De same-origin policy beperkt het tot elke pagina waarop het draait, niet je andere tabbladen.

Beheerder Jake Champion droeg het domein polyfill.io en de bijbehorende repository begin 2024 over aan Funnull. Een anonieme bron omschreef de verkoop als een levensveranderende som geld, maar er is nooit een bevestigd bedrag gepubliceerd.

Controles op basis van bron en vendorreviews missen runtime gedrag. Het betrouwbare signaal is wat scripts daadwerkelijk laden en doen in de browser. Runtime monitoring markeert omleidingen, nieuwe sub-scripts en onverwachte datatoegang wanneer echte gebruikers de pagina laden.

Monitor en Beveilig Je Third-Party Scripts

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Boek een demo

Start gratis

Start gratis, of probeer Business met een proefperiode van 14 dagen.

cside dashboard interface met script monitoring en beveiligingsanalytics

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over ongeautoriseerde pixels op goksites en GDPR-aansprakelijkheid

GDPR en online gokken: waarom niet-geautoriseerde pixels een dubbel aansprakelijkheidsprobleem creëren

Niet-geautoriseerde pixels op goksites creëren tegelijk GDPR-aansprakelijkheid en opschorting van advertentieaccounts, ook zonder installatie.

HIPAA-naleving voor websitetracering: de gids voor zorginstellingen over scripts van derden

HHS OCR stelde vast dat trackingpixels en scripts van derden op zorgwebsites PHI kunnen blootstellen. Dit moeten gedekte entiteiten doen om te voldoen.

Hoe Bytespider te Blokkeren (TikToks AI-Crawler)

Bytespider crawlt uw site voor de AI-systemen van Bytedance. Leer hoe u het blokkeert met robots.txt en IP-bereiken, en de belangrijkste zorgen rond datasoevereiniteit.

Donkere blogomslag met drie methoden van kwaadaardige casinoscripts: browsergestuurde omleidingen, shadow GTM-containers met malafide tags en geo-gerichte mobiele payloads

Hoe kwaadaardige scripts de spelersreis in casino's kapen

Geïnjecteerde scripts leiden casinospelers om voor de lobby. Netwerkhulpmiddelen missen ze. Zo moet detectie werken.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over scriptbeveiliging voor gokoperators in APAC

Client-side scriptbeveiliging voor online gokoperators in APAC

Hoe APAC online gokoperators in Japan, Singapore, de Filipijnen en Australië scripts van derden monitoren via echte spelersessies.

Hoe Amazon Buy for Me op Uw Website te Blokkeren

Amazon Buy for Me winkelt voor Prime-gebruikers op uw site. Leer hoe het prijs- en productgegevens verzamelt en hoe detectie in de browserlaag u controle geeft.

Account takeover voorkomen: het complete playbook voor 2026

Het ATO-operationele playbook voor 2026: een end-to-end model voor login, herstel, sessie en post-auth verdediging tegen overnames door AI-agents en bots.

Donkere cside-blogcover met een blauwe pixelgolf en een checklist over gecompromitteerde affiliatescripts die casino-omzet stelen

Hoe gecompromitteerde affiliate scripts online casino-inkomsten stelen

Gecompromitteerde affiliate scripts leiden spelers om en stelen commissies op casinopagina's, onzichtbaar en op grote schaal.

Donkere blogomslag met drie aanvalsvectoren van browser extensions: omleidingen naar phishing-klonen, diefstal van sessietokens en herschrijving van betalingsvelden op DOM-niveau

Hoe browser extensions online casinospelers aanvallen: wat operators kunnen doen

Browser extensions kunnen sessietokens stelen en betalingen kapen op casinosites. Zo werken ze, waarom servers het missen en hoe u ze detecteert.

Hoe Door AI Aangedreven Aanmaak van Nepaccounts te Blokkeren

AI-agenten maken nepaccounts aan met mensachtig gedrag dat CAPTCHA verslaat. Leer de browserlaag-signalen die geautomatiseerde registraties onthullen.