Skip to main content
Blog
Blog Attacks

Mais de 490 mil sites alvos de ataque à cadeia de suprimentos web

O domínio cdn.polyfill[.]io está sendo usado em um ataque à cadeia de suprimentos web. Fomos os primeiros a relatar a dimensão real: mais de 490.000 sites afetados.

Jun 25, 2024 6 min read
more-than-490k-websites-image-cover

NOTA: agora temos um artigo mais completo sobre o ataque Polyfill, além de uma linha do tempo e análise completas do Polyfill.io (2024–2026).

O domínio cdn.polyfill[.]io está sendo usado atualmente em um ataque à cadeia de suprimentos web. Ele costumava hospedar um serviço para adicionar polyfills JavaScript a sites, mas agora está inserindo código malicioso em scripts servidos aos usuários finais.

Entre os +490 mil sites alvos, foi confirmado que o domínio ainda estava ativo no serviço de streaming Hulu, de propriedade da Disney, The Guardian, Intuit e muitos outros.

Ação Imediata: Verifique seu código para qualquer uso do domínio polyfill.io e remova-o de suas aplicações. Abaixo, explicamos como o cside pode detectar e bloquear tais ameaças. Comece a usar o cside gratuitamente hoje e proteja-se. Use nosso scanner de scripts para verificar quais vulnerabilidades seu site possui.

Um projeto de código aberto chamado Polyfill permite que sites usem recursos modernos de JavaScript em navegadores mais antigos, incluindo apenas os polyfills necessários com base no navegador do usuário. Em fevereiro de 2024, o domínio polyfill.io foi comprado pela Funnull, uma empresa chinesa. Após a venda, o desenvolvedor, Andrew Betts, pediu aos usuários no Twitter que removessem referências a este CDN:

If your website uses

https://t.co/3xHecLPXkB

, remove it IMMEDIATELY.

I created the polyfill service project but I have never owned the domain name and I have had no influence over its sale.

https://t.co/GYt3dhr5fI

— Andrew Betts (@triblondon)

February 25, 2024

Os provedores de CDN mais populares criaram seus próprios forks desde então, dando aos usuários uma escolha mais segura. A maioria dos navegadores evoluiu para tornar isso desnecessário de qualquer forma. Um site chamado Polykill foi criado para relatar isso e as possíveis correções. Você pode usá-lo para pesquisar se um site executa o domínio comprometido. No momento em que este artigo foi escrito, ele não foi atualizado com referência a este problema.

O domínio foi encontrado injetando código malicioso em dispositivos através de sites usando cdn.polyfill[.]io. O código malicioso gera payloads dinamicamente com base em cabeçalhos HTTP, ativando apenas em dispositivos móveis específicos, evitando detecção, evitando usuários administradores e atrasando a execução. O código também está ofuscado. A empresa de segurança Sansec documentou o payload em seu relatório forense. (O CVE-2024-38526 relacionado foi atribuído ao pdoc, a ferramenta de documentação Python que carregava o polyfill.io, e não ao incidente como um todo.)

Em alguns casos, os usuários recebem arquivos JavaScript adulterados, que incluem um link falso do Google Analytics googie-anaiytics[.]com/gtags.js. Este link falso redireciona os usuários para vários sites de apostas esportivas e pornográficos, aparentemente com base em sua região. Mas sendo JavaScript, poderia a qualquer momento introduzir novos ataques como formjacking, clickjacking e roubo de dados mais amplo.

Um site para o qual fomos redirecionados ao testar esta vulnerabilidade:

Site de apostas esportivas para o qual o payload do polyfill.io redirecionou nosso navegador de teste

Entre 7 e 8 de março de 2024, os mantenedores do domínio adicionaram um cabeçalho Cloudflare Security Protection ao seu site, como pode ser visto no Internet Archive. Seu propósito não foi explicado e não está claro.

A Cloudflare confirmou desde então que não autorizou seu uso.

Captura do Internet Archive da página inicial do polyfill.io durante o ataque

Este ataque coloca centenas de milhares de sites em risco imediato. Os primeiros relatos disseram 100.000, mas esse era simplesmente o limite de resultados padrão da ferramenta de busca PublicWWW. A contagem real era de mais de 490.000. (A Censys contou de forma independente 384.773 hosts que ainda referenciavam o domínio em 2024-07-02.) Quando um domínio antes seguro está incorporado em tantos sites e oculto como as ameaças JavaScript são, torna-se um caminho tentador para atores maliciosos.

Presumivelmente, a Funnull, atual proprietária dos domínios do Polyfill, criou uma conta social com o mesmo nome por volta da época relatada em que compraram os domínios (fevereiro de 2024). Em postagens no X (anteriormente Twitter), eles acusam a Cloudflare, a mídia e outros de difamação maliciosa:

Someone has maliciously defamed us. We have no supply chain risks because all content is statically cached. Any involvement of third parties could introduce potential risks to your website,

but no one would do this as it would be jeopardize our own reputation.

We have already…— Polyfill (@Polyfill_Global)

June 26, 2024

Tome medidas agora

O serviço Polyfill em si ainda é sólido. Você pode hospedar sua própria versão em um ambiente seguro e controlado sem problemas. O problema está no domínio cdn.polyfill[.]io que deve ser imediatamente removido de seus sites.

Recursos de terceiros estão em uma posição muito poderosa e, portanto, são alvos de alto valor para atores maliciosos. CDNs que hospedam scripts de terceiros estão sujeitos a ataques. Em 2021 o próprio cdnjs teve certas vulnerabilidades expostas.

Nota do editor (2026): A seção abaixo descreve a arquitetura original da cside, de 2024. A cside agora realiza monitoramento completo de scripts no lado do cliente — um único snippet JavaScript first-party que observa o que os scripts de terceiros realmente fazem nos navegadores de visitantes reais, incluindo os payloads condicionais, restritos por geolocalização e horário (como este), que mostram código limpo a scanners e crawlers. O proxy de entrega de scripts descrito abaixo foi descontinuado no início de 2026.

Com o cside, dependências de terceiros buscadas pelo navegador não são mais feitas diretamente para o terceiro. Em vez disso, elas passam pelo mecanismo de detecção e otimização do cside. Tornando-o capaz de detectar ataques altamente direcionados contra uma pequena porcentagem de usuários. Se algo malicioso for detectado, bloqueamos antes que seja servido ao usuário final.

Nosso mecanismo de detecção é capaz de detectar essa mudança no código real e bloqueá-la de acontecer. Se um site executando o cside também tivesse o cdn.polyfill[.]io tentando carregar um script adulterado, ele não teria sido servido ao usuário.

Você teria sido alertado imediatamente e saberia no segundo em que isso estava acontecendo. Também salvamos o código do script e o desofuscamos para que você possa verificar o que ele faz por si mesmo.

No momento em que este artigo foi escrito, os feeds de ameaças não sinalizam este domínio. Isso ressalta o fato de que confiar apenas neles é um negócio arriscado, como mencionamos aqui.

Um redirecionamento foi apenas o que foi capturado. Mais tarde, explicamos por que o ataque ao Polyfill foi muito mais do que um simples ataque de redirecionamento e, em 2025, a OFAC sancionou a Funnull, a empresa por trás do domínio.

Comece a usar o cside gratuitamente e proteja-se hoje.

Simon Wijckmans
Founder & CEO

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

FAQ

Frequently Asked Questions

O domínio cdn.polyfill[.]io foi vendido à Funnull no começo de 2024 e passou a injetar JavaScript malicioso nos centenas de milhares de sites que ainda o referenciavam. Hulu, The Guardian e Intuit estavam entre os sites afetados.

Remova o script imediatamente e audite o restante dos scripts de terceiros em busca de domínios abandonados ou vendidos parecidos. Hospedar sua própria build do polyfill ou migrar para um mirror de CDN auditado é a opção mais segura.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança
Related Articles
Agende uma demonstração