NOTA: agora temos um artigo mais completo sobre o ataque Polyfill aqui.
O domínio cdn.polyfill.io está sendo usado atualmente em um ataque à cadeia de suprimentos web. Ele costumava hospedar um serviço para adicionar polyfills JavaScript a sites, mas agora está inserindo código malicioso em scripts servidos aos usuários finais.
Entre os +490 mil sites alvos, foi confirmado que o domínio ainda estava ativo no serviço de streaming Hulu, de propriedade da Disney, The Guardian, Intuit e muitos outros.
Ação Imediata: Verifique seu código para qualquer uso do domínio polyfill.io e remova-o de suas aplicações. Abaixo, explicamos como o cside pode detectar e bloquear tais ameaças. Comece a usar o cside gratuitamente hoje e proteja-se. Use nosso scanner de scripts para verificar quais vulnerabilidades seu site possui.
Um projeto de código aberto chamado Polyfill permite que sites usem recursos modernos de JavaScript em navegadores mais antigos, incluindo apenas os polyfills necessários com base no navegador do usuário. Em fevereiro de 2024, o domínio polyfill.io foi comprado pela Funnull, uma empresa chinesa. Após a venda, o desenvolvedor, Andrew Betts, pediu aos usuários no Twitter que removessem referências a este CDN:
If your website uses
, remove it IMMEDIATELY.
I created the polyfill service project but I have never owned the domain name and I have had no influence over its sale.
— Andrew Betts (@triblondon)
Os provedores de CDN mais populares criaram seus próprios forks desde então, dando aos usuários uma escolha mais segura. A maioria dos navegadores evoluiu para tornar isso desnecessário de qualquer forma. Um site chamado Polykill foi criado para relatar isso e as possíveis correções. Você pode usá-lo para pesquisar se um site executa o domínio comprometido. No momento em que este artigo foi escrito, ele não foi atualizado com referência a este problema.
O domínio foi encontrado injetando código malicioso em dispositivos através de sites usando cdn.polyfill.io. O código malicioso gera payloads dinamicamente com base em cabeçalhos HTTP, ativando apenas em dispositivos móveis específicos, evitando detecção, evitando usuários administradores e atrasando a execução. O código também está ofuscado.
Em alguns casos, os usuários recebem arquivos JavaScript adulterados, que incluem um link falso do Google Analytics https://www.googie-anaiytics.com/gtags.js. Este link falso redireciona os usuários para vários sites de apostas esportivas e pornográficos, aparentemente com base em sua região. Mas sendo JavaScript, poderia a qualquer momento introduzir novos ataques como formjacking, clickjacking e roubo de dados mais amplo.
Um site para o qual fomos redirecionados ao testar esta vulnerabilidade:
Entre 7 e 8 de março de 2024, os mantenedores do domínio adicionaram um cabeçalho Cloudflare Security Protection ao seu site, como pode ser visto no Internet Archive. Seu propósito não foi explicado e não está claro.
A Cloudflare confirmou desde então que não autorizou seu uso.
Este ataque coloca um estimado de +100 mil sites em risco imediato. Quando um domínio antes seguro está incorporado em milhares de sites e oculto como as ameaças JavaScript são, torna-se um caminho tentador para atores maliciosos.
Presumivelmente, a Funnull, atual proprietária dos domínios do Polyfill, criou uma conta social com o mesmo nome por volta da época relatada em que compraram os domínios (fevereiro de 2024). Em postagens no X (anteriormente Twitter), eles acusam a Cloudflare, a mídia e outros de difamação maliciosa:
Someone has maliciously defamed us. We have no supply chain risks because all content is statically cached. Any involvement of third parties could introduce potential risks to your website,
but no one would do this as it would be jeopardize our own reputation.
We have already…— Polyfill (@Polyfill_Global)
Tome medidas agora
O serviço Polyfill em si ainda é sólido. Você pode hospedar sua própria versão em um ambiente seguro e controlado sem problemas. O problema está no domínio cdn.polyfill.io que deve ser imediatamente removido de seus sites.
Recursos de terceiros estão em uma posição muito poderosa e, portanto, são alvos de alto valor para atores maliciosos. CDNs que hospedam scripts de terceiros estão sujeitos a ataques. Em 2021 o próprio cdnjs teve certas vulnerabilidades expostas.
Com o cside, dependências de terceiros buscadas pelo navegador não são mais feitas diretamente para o terceiro. Em vez disso, elas passam pelo mecanismo de detecção e otimização do cside. Tornando-o capaz de detectar ataques altamente direcionados contra uma pequena porcentagem de usuários. Se algo malicioso for detectado, bloqueamos antes que seja servido ao usuário final.
Nosso mecanismo de detecção é capaz de detectar essa mudança no código real e bloqueá-la de acontecer. Se um site executando o cside também tivesse o cdn.polyfill.io tentando carregar um script adulterado, ele não teria sido servido ao usuário.
Você teria sido alertado imediatamente e saberia no segundo em que isso estava acontecendo. Também salvamos o código do script e o desofuscamos para que você possa verificar o que ele faz por si mesmo.
No momento em que este artigo foi escrito, os feeds de ameaças não sinalizam este domínio. Isso ressalta o fato de que confiar apenas neles é um negócio arriscado, como mencionamos aqui.
Comece a usar o cside gratuitamente e proteja-se hoje.
