Blog Attacks

O ataque ao Polyfill[.]io - Muito mais do que um simples ataque de redirecionamento

Um redirecionamento foi apenas o que foi capturado. Com o controle de um script de terceiros em meio milhão de sites, algo muito pior era possível. Veja por que importou.

Dec 06, 2024 • 5 min read

Simon Wijckmans Founder & CEO

Quando nós e outros veículos de notícias reportamos o ataque ao Polyfill, as reações foram surpreendentemente brandas. Isso pode ter ocorrido por conta do resultado visível: um simples redirecionamento para sites obscuros. (Para a cronologia completa, veja nossa linha do tempo completa do Polyfill.io.)

Mas, como detalhamos em nosso post-mortem, as consequências potenciais são muito mais graves:

"Aqui o agente malicioso optou por apenas redirecionar usuários para sites adultos e de apostas, porém algo muito pior poderia ter acontecido. Monitorar teclas digitadas em uma pequena porcentagem de sessões com base em geolocalização e hora do dia, injetar malware, minerar criptomoedas ou reescrever botões em sites para redirecionar a portais de pagamento falsos.

De um simples redirecionamento ao roubo de dados de cartão de crédito, ataques a JavaScript no lado do cliente podem fazer tudo isso. O ataque ao Polyfill poderia ter causado um impacto muito mais negativo — de certa forma, tivemos sorte. Que isso sirva de lembrete: precisamos monitorar nossos scripts no lado do cliente."

O fato é que muito mais provavelmente aconteceu.

Nova perspectiva sobre a transferência do domínio

O domínio que hospedava o script foi vendido para uma empresa de operação chinesa chamada Funnull. Aproximadamente seis semanas depois, os redirecionamentos começaram e o incidente foi reconhecido como um ataque. A empresa de segurança Sansec publicou sua análise forense do payload de redirecionamento. (O CVE-2024-38526 relacionado foi atribuído ao pdoc, a ferramenta de documentação Python que carregava o polyfill.io, e não ao incidente como um todo.)

Recentemente, uma fonte não identificada revelou que o domínio polyfill[.]io — no centro do ataque — foi vendido por uma "quantia que mudou a vida" de alguém.

O script Polyfill foi originalmente criado por Andrew Betts e Jake Champion. Andrew Betts publicou um tweet (posteriormente deletado) reconhecendo a venda e admitindo que não teve nenhuma influência sobre ela.

Outro usuário do X, John Schulz, descobriu um anúncio removido da Funnull que nomeava Jake Champion como o indivíduo que transferiu o domínio para eles:

Took me a bit to find it, but here's the announcement pic.twitter.com/9sdSboOu7l
— John Schulz (@JFSIII) February 24, 2024

Um tweet posteriormente deletado de Jake Champion confirma que ele pessoalmente transferiu o domínio para a Funnull.

Possíveis cenários catastróficos

O ataque foi exposto porque usuários foram redirecionados para sites adultos e de apostas. No entanto, se o domínio foi vendido por uma "quantia que mudou a vida", parece improvável que tenha sido usado apenas para uma exploração tão básica.

Por semanas, esse ataque afetou meio milhão de sites, incluindo Intuit, The Guardian, Hulu e The Verge.

Veja alguns cenários catastróficos potenciais que poderiam ter sido executados ao assumir o controle de um único arquivo JavaScript de terceiros.

Ataque DDoS

Os atacantes podem coletar endereços IP de visitantes em meio milhão de sites e usar suas máquinas para enviar requisições a qualquer alvo, criando um dos maiores ataques DDoS já registrados. Isso pode paralisar grandes instituições, tanto privadas quanto governamentais, por horas.

Ataque ao Workday

Os atacantes podem enganar funcionários para que compartilhem suas credenciais do Workday, obtendo acesso não autorizado a sistemas internos ou simplesmente exfiltrando seus tokens de sessão. Isso pode resultar em:

Manipulação da folha de pagamento
Roubo de registros de funcionários
Acesso a dados sensíveis de RH
… e muito mais

Reescrever qualquer conteúdo em uma página web

Em sites de notícias infectados, os atacantes podem reescrever conteúdo para:

Provocar reações ou pânico
Manipular a opinião pública
Alterar narrativas sobre assuntos controversos
… e muito mais

Captura de PII e dados de cartão de crédito

Ataques no lado do cliente frequentemente coletam Informações de Identificação Pessoal (PII) e dados de pagamento. Com mais de meio milhão de sites afetados, incluindo muitos com formulários de checkout, os atacantes podem roubar dados de pagamento em massa.

Infectar outros sites

Um site infectado pode hospedar scripts maliciosos, permitindo que o ataque se espalhe. Essa tática complica os esforços de detecção e contenção. Essa técnica é comumente usada em brechas no lado do cliente, como visto no caso do Schrwaa[.].com (link seguro para um artigo).

Mineração de criptomoedas no navegador

Cryptojacking — forçar os navegadores dos usuários a minerar criptomoedas — é uma tática bem documentada. Se executada em meio milhão de sites de alto tráfego, os atacantes podem lucrar imensamente com milhões de visitantes diários. Leia sobre os ataques ao BrowseAloud e ao Copay event-stream para ver exemplos recentes.

Um cenário e

É fundamental ressaltar que esses cenários não são isolados — eles podem ocorrer simultaneamente. Os redirecionamentos já aconteceram, mas os outros cenários podem ter estado ativos também.

Sem monitoramento no lado do cliente, é impossível saber.

Para sermos precisos quanto às evidências: o único payload que os pesquisadores capturaram e decodificaram foi o redirecionamento. Uma desofuscação independente da SecureLayer7 não encontrou nenhuma prova capturada de coleta de credenciais, registro de teclas digitadas ou exfiltração de PII, e a divulgação forense da Sansec documentou o mesmo comportamento de apenas redirecionamento. Os cenários acima são, portanto, capacidade, não eventos confirmados — mas, como o script era reconstruído a cada requisição, uma variante de roubo de dados direcionada nunca apareceria em uma varredura pública. Redirecionamento: comprovado. Roubo silencioso e direcionado: plausível por design, nunca capturado.

Essa incerteza é o motivo pelo qual criamos o cside. Embora não possamos ver todos os ataques globalmente, monitoramos scripts de terceiros no seu site para detectar e prevenir que ataques como esse prejudiquem seus usuários.

Esperamos que o redirecionamento tenha sido o pior de tudo. Mas o fato de que algo muito pior poderia ter acontecido já é razão suficiente para agir. Em 2025, a OFAC sancionou a Funnull pela operação maior por trás deste domínio, um lembrete de que as pessoas que a operavam não eram amadores. Proteja seu site em segundos, gratuitamente, cadastrando-se hoje.

Founder & CEO Simon Wijckmans

Founder and CEO of cside. Previously a product manager on Cloudflare Page Shield (now Cloudflare Client-Side Security). Co-chair of the W3C Anti-Fraud Community Group and a Forbes 30 Under 30 honoree. Building accessible security against client-side attacks — web security is not an enterprise-only problem.

Don't just take our word for it, ask AI

FAQ

Frequently Asked Questions

O comportamento que foi capturado e decodificado era um redirecionamento para sites de fraude e apostas. A análise independente do payload recuperado encontrou apenas lógica de redirecionamento. Mas o serviço gerava código por requisição, então uma variante de roubo de dados direcionada a visitantes específicos não pôde ser descartada e não apareceria em varreduras públicas. Sem monitoramento no lado do cliente, o proprietário do site não tinha como saber o que rodava para seus usuários.

Um script first-party pode ler e reescrever qualquer coisa na página que o carrega, incluindo formulários, cookies, tokens de sessão e conteúdo. Com o controle de um script em cerca de meio milhão de sites, um operador poderia tentar formjacking, roubo de credenciais, manipulação de conteúdo, cryptojacking ou DDoS em larga escala. A política de mesma origem o limita a cada página em que ele roda, não às suas outras abas.

O mantenedor Jake Champion transferiu o domínio polyfill.io e seu repositório para a Funnull no início de 2024. Uma fonte não identificada descreveu a venda como uma quantia que mudou a vida de alguém, mas nenhum valor confirmado jamais foi publicado.

Verificações baseadas na fonte e revisões de fornecedor não captam o comportamento em tempo de execução. O sinal confiável é o que os scripts realmente carregam e fazem no navegador. O monitoramento em tempo de execução sinaliza redirecionamentos, novos sub-scripts e acessos a dados inesperados quando usuários reais carregam a página.

Monitore e Proteja Seus Scripts de Terceiros

Gain full visibility and control over every script delivered to your users to enhance site security and performance.

Agende uma demonstração

Comece gratuitamente

Comece grátis, ou experimente o Business com um teste de 14 dias.

Interface do painel cside mostrando monitoramento de scripts e análises de segurança

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre pixels não autorizados em sites de jogos e responsabilidade pelo GDPR

GDPR e Jogo Online: Por Que Razão os Pixels Não Autorizados Criam um Problema de Responsabilidade Dupla

Pixels não autorizados em sites de jogo criam responsabilidade GDPR e suspensão de contas de anúncios ao mesmo tempo, mesmo sem instalação.

Conformidade HIPAA com tecnologias de rastreamento web: o guia para organizações de saúde

O OCR do HHS determinou que pixels de rastreamento e scripts de terceiros em sites de saúde podem expor PHI. O que as entidades cobertas precisam fazer para estar em conformidade.

Como Bloquear o Bytespider (o Crawler de IA do TikTok)

O Bytespider rastreia o seu site para os sistemas de IA da Bytedance. Saiba como bloqueá-lo com robots.txt e intervalos de IP, e as principais preocupações de soberania de dados.

Capa escura do blog com três métodos de ataque de scripts maliciosos em casinos: redirects disparados no browser, shadow GTM containers com tags maliciosas e payloads móveis geo-direccionados

Como Scripts Maliciosos Sequestram as Jornadas dos Jogadores em Casinos Online

Scripts injectados redirecionam jogadores de casino antes do lobby. As ferramentas de rede não os detectam. Eis como a detecção deve funcionar.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre segurança de scripts para operadores de jogos na APAC

Segurança de scripts client-side para operadores de jogo online na região APAC

Como operadores de jogo online APAC no Japão, Singapura, Filipinas e Austrália podem monitorizar scripts de terceiros em sessões reais.

Como Bloquear o Amazon Buy for Me no Seu Site

O Amazon Buy for Me compra no seu site em nome de utilizadores Prime. Saiba como recolhe dados de preços e produtos e como a deteção na camada do navegador lhe dá controlo.

Prevenção de account takeover: o playbook completo de 2026

O playbook operativo de ATO para 2026: um modelo integral para login, recuperação, sessão e defesa post-auth contra a apropriação impulsionada por agentes IA e bots.

Capa escura do blog da cside com uma onda de pixels azuis e uma lista sobre scripts de afiliados comprometidos que roubam receita de cassinos

Como Scripts de Afiliados Comprometidos Roubam Receita de Casinos Online

Scripts de afiliados comprometidos redirecionam jogadores e roubam comissões em páginas de casino, de forma silenciosa e em escala.

Capa escura do blog com três vectores de ataque de browser extensions: redirecionamentos para clones de phishing, roubo de token de sessão e reescrita de campos de pagamento no DOM

Como as Browser Extensions Atacam Jogadores de Casinos Online: O Que os Operadores Podem Fazer

As browser extensions roubam tokens de sessão e sequestram pagamentos em casinos. Como detectar estes ataques que os servidores não vêem.

Como Bloquear a Criação de Contas Falsas com IA

Agentes de IA criam contas falsas com comportamento humano que derrota o CAPTCHA. Aprenda os sinais na camada do navegador que expõem os registos automatizados.