Blog Attacks

Funnull sancionada: o que Polyfill[.]io revelou sobre lavagem de infraestrutura

As sanções contra a Funnull mostram que Polyfill fazia parte de um risco maior de lavagem de infraestrutura.

May 18, 2026 • 8 min read

Simon Wijckmans Founder & CEO

Banner ilustrado do blog sobre sancoes a Funnull, lavagem de infraestrutura e risco de cadeia de suprimentos no navegador

Resposta rápida: a OFAC sancionou a Funnull Technology Inc. em 2025-05-29, juntamente com o administrador Liu Lizhi. Essa ação muda a leitura do incidente Polyfill[.]io. Não foi apenas uma campanha de redirecionamento contra sites que ainda carregavam uma antiga utilidade JavaScript. Foi uma falha de supply chain no navegador ligada a uma operação maior de lavagem de infraestrutura.

A lição para equipas de segurança é direta: scripts de terceiros não podem ser tratados como fiáveis para sempre porque já foram fiáveis uma vez. Proprietários mudam, rotas de CDN mudam e payloads secundários mudam.

TL;DR

A OFAC sancionou a Funnull Technology Inc. e o administrador Liu Lizhi em 2025-05-29
O Treasury ligou a Funnull a mais de 200 milhões de dólares em perdas reportadas por vítimas nos EUA
O FBI identificou 548 CNAMEs da Funnull ligados a mais de 332.000 domínios únicos
O Treasury afirmou que a Funnull comprou e alterou em 2024 um repositório de código usado por programadores web
Defesas no navegador precisam de verificações runtime de comportamento de scripts, não apenas confiança no fornecedor

O que mudou: a Funnull é agora um fornecedor de infraestrutura sancionado

O Departamento do Tesouro dos EUA sancionou a Funnull como uma empresa sediada nas Filipinas que fornecia infraestrutura informática para centenas de milhares de sites envolvidos em esquemas de investimento com moeda virtual. O Treasury descreveu esses esquemas como pig butchering e disse que a Funnull facilitou diretamente esquemas ligados a mais de 200 milhões de dólares em perdas reportadas por vítimas nos EUA.

Captura do comunicado do Treasury que anuncia sanções contra a Funnull Technology Inc.

A mesma ação sancionou Liu Lizhi, descrito pelo Treasury como administrador da Funnull. O Treasury disse que Liu estava envolvido em documentos operacionais e tarefas que incluíam atribuir domínios a cibercriminosos para fraude de investimento, phishing e sites de apostas online.

A escala importa. O aviso do FBI publicado no mesmo dia disse que investigadores tinham identificado 548 CNAMEs únicos da Funnull ligados a mais de 332.000 domínios únicos desde janeiro de 2025. Isto não é um único domínio mau. É uma camada de infraestrutura.

Como Polyfill[.]io se encaixa no padrão maior da Funnull

Em 2024, Polyfill[.]io já era um aviso claro sobre a supply chain do navegador. Um serviço JavaScript amplamente incorporado mudou de mãos e depois serviu redirecionamentos maliciosos a uma percentagem de utilizadores com base em condições runtime. A cside cobriu o incidente em The Polyfill[.]io attack explained e mais tarde explicou por que foi mais do que um ataque de redirecionamento.

A ação do Treasury contra a Funnull torna a ligação mais clara. O Treasury disse que em 2024 a Funnull comprou um repositório de código usado por programadores web e alterou o código de forma maliciosa para redirecionar visitantes de sites legítimos para sites de fraude e apostas online.

Diagrama que mostra CDNs da Funnull a encaminhar JavaScript de sites web por servidores de redirecionamento para sites de apostas e pig butchering

Em 2026-05-18, o PublicWWW ainda listava 61.593 páginas web que continham "polyfill.io", embora a Namecheap já tivesse tomado medidas contra o domínio malicioso depois do ataque de supply chain de 2024. Esse resíduo é o problema operacional: dependências do navegador podem continuar incorporadas muito depois de um domínio ter sido suspenso, bloqueado ou identificado publicamente como inseguro.

Esse é o padrão operacional que equipas de segurança devem reconhecer. Um script pode ser inofensivo quando aprovado, arriscado quando muda de proprietário e malicioso quando o caminho de código muda. O proprietário do site pode não mudar uma linha de código. O navegador do utilizador continua a executar o novo payload.

dashboard cside privacy watch com visibilidade sobre scripts de terceiros

O que a lavagem de infraestrutura significa para equipas de segurança

Lavagem de infraestrutura é o uso de infraestrutura credível para ocultar ou legitimar atividade maliciosa. Em vez de alojar cada site fraudulento em servidores óbvios de baixa reputação, um operador pode encaminhar através de fornecedores cloud, CDNs, cadeias DNS e marcas de fachada que parecem normais à distância.

Para segurança do navegador, o mais importante não é o rótulo. É a falha de controlo. Um site pode confiar numa URL de CDN porque funcionou ontem. Uma revisão de fornecedor pode aprovar um domínio porque o fornecedor era legítimo na altura. Um tag manager pode mostrar o mesmo script principal enquanto esse script carrega um recurso secundário diferente em runtime.

É por isso que a confiança baseada apenas na origem falha. O navegador não executa um questionário de fornecedor. Executa JavaScript.

Controlo	Em que ajuda	Onde falha
Inventário de scripts	Mostra que scripts deveriam estar presentes	Perde comportamento runtime e mudanças rápidas do fornecedor
Revisão de fornecedor	Regista proprietário, finalidade e aprovação	Fica desatualizada após aquisições, rebrands e mudanças de subprocessadores
Subresource Integrity	Bloqueia ficheiros estáticos alterados quando hashes estão fixos	Falha com scripts dinâmicos e não cobre sub-scripts runtime
Content Security Policy	Limita de onde scripts e recursos podem carregar	Exige allowlists precisas e pode falhar comportamento dentro de domínios permitidos
Monitorização runtime	Observa o que scripts realmente carregam, mudam e fazem	Exige instrumentação na camada do navegador e revisão operacional

Porque as sanções não acabam com o risco no navegador

Sanções podem perturbar uma empresa nomeada, congelar ativos sob jurisdição dos EUA e tornar negócios com a parte sancionada legalmente arriscados para pessoas dos EUA. Não removem automaticamente da internet todos os domínios, scripts, rotas CDN ou empresas de fachada relacionados.

O risco pós-sanções já aparece em investigação de ameaças. A Silent Push reportou que infraestrutura associada ao ecossistema mais amplo Triad Nexus e Funnull continuou a evoluir após as sanções de 2025, incluindo bloqueio geográfico, rotação de CNAMEs e empresas de fachada com aparência limpa.

A ação posterior do Treasury e do Reino Unido contra redes cibercriminosas do Sudeste Asiático também mostra o contexto mais amplo de aplicação. A OFAC sancionou 146 alvos dentro da Prince Group Transnational Criminal Organization, enquanto a FinCEN finalizou uma regra para cortar a Huione Group do sistema financeiro dos EUA. São redes grandes e adaptativas.

Captura do comunicado do Treasury sobre a ação dos EUA e do Reino Unido contra redes cibercriminosas do Sudeste Asiático

O que fazer esta semana

Comece pelos scripts que podem tocar login, checkout, criação de conta, pagamento e fluxos com dados pessoais.

Procure polyfill[.]io, bootcdn[.]net, bootcss[.]com, staticfile[.]net, staticfile[.]org e unionadjs[.]com em código fonte, tag managers, templates CMS e snippets antigos
Remova scripts de compatibilidade mortos que navegadores modernos já não precisam
Mapeie cada script de terceiros para proprietário, finalidade, âmbito de página e nível de acesso a dados
Identifique scripts que carregam scripts adicionais, constroem URLs dinamicamente ou executam código diferente por user agent, geografia, referrer ou estado de sessão
Use SRI apenas quando o script é estático e o fornecedor suporta hashes estáveis
Reforce CSP em fluxos sensíveis e monitorize violações antes de passar de report-only para enforcement
Adicione monitorização runtime para que mudanças de scripts, redirecionamentos, acesso a dados e chamadas de rede inesperadas sejam visíveis quando utilizadores carregam a página

Isto não é apenas uma limpeza de Polyfill. É governação de scripts de terceiros.

Como a cside ajuda a monitorizar risco de scripts de terceiros

A cside trabalha na camada do navegador, onde scripts de terceiros realmente executam. Isto importa porque logs de servidor, revisões de fornecedor e inventários estáticos perdem comportamento runtime importante.

Com a cside, as equipas conseguem ver que scripts carregam em páginas reais, o que esses scripts chamam, como mudam e se tentam comportamento suspeito, como redirecionamentos inesperados ou acesso a dados. Essa visibilidade ajuda equipas de segurança e conformidade a passar de "aprovámos este fornecedor uma vez" para "sabemos o que este código faz agora".

As sanções contra a Funnull são um ponto de pressão útil. Mostram que o risco de supply chain client-side não é teórico e não se limita a domínios obviamente maliciosos.

Em 2026-05-18, designações de sanções, indicadores de infraestrutura e fachadas ativas podem mudar. Trate os domínios e CNAMEs nomeados como pistas de investigação, não como uma blocklist completa.

Leitura adicional

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Building better security against client-side executed attacks, and making solutions more accessible to smaller businesses. Web security is not an enterprise only problem.

Back to top

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

A OFAC sancionou a Funnull Technology Inc. em 2025-05-29 por fornecer infraestrutura a sites envolvidos em esquemas de investimento com moeda virtual, conhecidos como pig butchering. O Treasury também sancionou o administrador da Funnull, Liu Lizhi.

Sim. O Treasury afirmou que a Funnull comprou em 2024 um repositório de código usado por programadores web e o alterou de forma maliciosa para redirecionar visitantes de sites legítimos para sites de fraude e apostas online. Isso corresponde ao incidente de supply chain Polyfill[.]io investigado pela cside em 2024.

Lavagem de infraestrutura é o uso de hosting, cloud, CDN ou DNS credíveis para fazer sites maliciosos parecerem legítimos e mais difíceis de remover. Pode envolver compra em massa de IPs, rotação de CNAMEs, abuso de contas e marcas de fachada com aparência limpa.

Remover Polyfill[.]io resolve uma dependência exposta. Não resolve o risco mais amplo de um script de terceiros, CDN ou domínio de fornecedor mudar de proprietário, carregar novo código ou redirecionar utilizadores depois de aprovado.

As equipas devem manter um inventário de scripts, verificar integridade quando ficheiros estáticos o permitirem, aplicar CSP quando for prático e monitorizar o comportamento runtime dos scripts no navegador. O ponto central é detetar o que os scripts realmente carregam e fazem para utilizadores reais.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Funnull sancionada: o que Polyfill[.]io revelou sobre lavagem de infraestrutura

As sanções contra a Funnull mostram que Polyfill fazia parte de um risco maior de lavagem de infraestrutura.

Ilustração do stack de segurança com inferência no dispositivo

A inferência no dispositivo está a chegar ao seu stack de segurança: para melhor e pior

A IA local pode proteger dados sensíveis e reforçar endpoints, mas cria novos riscos de prompt injection, telemetria e navegador.

Capa escura do blog cside com pontos sobre ferramentas de deteção de agentes de IA

4 ferramentas para detetar agentes de IA no seu site (prevenção de fraude)

Comparação de cside, HUMAN Security, DataDome e Cloudflare para deteção de agentes de IA. Veja como cada ferramenta lida com prevenção de fraude, preços e implementação.

Capa escura do blog cside com pontos sobre bloquear bots de teste de cartão com IA

Bots de teste de cartão baseados em agentes de IA | Como bloqueá-los

Agentes de teste de cartão com IA usam browsers reais para validar credenciais roubadas em escala. Saiba como detetá-los e bloqueá-los antes do pagamento.

Capa escura do blog cside com pontos sobre usos e bloqueio de navegadores stealth

O Que São Navegadores Stealth (ou 'Anti-Detect') e Quando Bloqueá-los

Navegadores stealth contornam a deteção de bots. Navegadores anti-detect falsificam impressões digitais. Conheça os sinais que revelam ambos, mesmo quando parecem humanos.

Distintivo SourceForge Spring 2026 Top Performer junto de um gráfico de dashboard cside

cside nomeada SourceForge Spring 2026 Top Performer em segurança do lado do cliente

A cside foi nomeada SourceForge Spring 2026 Top Performer, sinal de confiança dos utilizadores em segurança do lado do cliente.

Capa escura do blog cside com pontos sobre deteção de tráfego de agentes de IA

Como Detectar Agentes de IA no Seu Website | Guia Completo

Este guia aborda a deteção de agentes de IA através de sinais de identidade, rede, navegador e comportamento. Veja métodos gratuitos como análise de logs de servidor e ferramentas especializadas.

Globo de rede azul e ícones de segurança do navegador numa capa escura da cside

cside copreside a segurança antifraude do navegador no W3C

Simon Wijckmans é agora copresidente do AFCG do W3C enquanto a cside ajuda a definir sinais privados contra fraude com IA.

Capa escura do blog cside com pontos sobre Mastercard First-Party Trust

O que é Mastercard First-Party Trust? Como reduz chargebacks

Mastercard First-Party Trust desvia disputas de fraude amigável antes que se tornem chargebacks formais. Veja como funciona o quadro de evidência.

Capa escura do blog cside com pontos sobre sinais de device fingerprinting

Mastercard First Party Trust: melhore os rácios EFM e ECP com device fingerprinting

O programa First Party Trust da Mastercard usa device fingerprinting para deflectir disputas de friendly fraud antes que inflacionem os seus rácios EFM e ECP.