Se você estiver usando o código Polyfill.io em seu site remova-o imediatamente
Scripts se tornam maliciosos e infectam páginas da web após CDN chinesa engolir domínio
O domínio polyfill.io está sendo usado para infectar mais de 100.000 sites com malware depois que uma organização chinesa comprou o domínio no início deste ano.
Várias empresas de segurança soaram o alarme na terça-feira, alertando as organizações cujos sites usam qualquer código JavaScript do domínio pollyfill.io para removê-lo imediatamente.
O site oferecia polyfills – pedaços úteis de código JavaScript que adicionam funcionalidade a navegadores mais antigos que são incorporados em versões mais recentes. Esses in-fills facilitam a vida dos desenvolvedores, pois, ao usar polyfillers, eles sabem que seu código web funcionará em uma gama maior de navegadores.
Agora, fomos informados de que pollyfill.io está disponibilizando código malicioso oculto nesses scripts, o que significa que qualquer pessoa que visitar um site usando o domínio acabará executando esse malware em seu navegador.
“O domínio cdn.polyfill.io está sendo usado atualmente em um ataque à cadeia de suprimentos da web”, disse Carlo D’Agnolo, da empresa de monitoramento de segurança c/side , em um comunicado. “Ele costumava hospedar um serviço para adicionar polyfills JavaScript a sites, mas agora está inserindo código malicioso em scripts fornecidos a usuários finais.”
Além disso, entendemos que o Google começou a bloquear o Google Ads para sites que usam o código impactado, presumivelmente para reduzir o tráfego para eles e cortar o número de vítimas em potencial. Os proprietários de sites afetados também foram alertados pelo gigante da internet.
“Detectamos um problema de segurança recentemente que pode afetar sites que usam certas bibliotecas de terceiros”, disse um porta-voz do Google ao The Register . “Para ajudar anunciantes potencialmente impactados a proteger seus sites, temos compartilhado proativamente informações sobre como mitigar o problema rapidamente.”
Sites que incorporam scripts envenenados do polyfill.io e também do bootcss.com podem acabar redirecionando visitantes inesperadamente para longe do local pretendido e enviá-los para sites maliciosos, informou o Google aos anunciantes.
Mais de 100.000 sites já estão carregando os scripts hostis, de acordo com a equipe de análise forense de segurança da Sansec, que na terça-feira alegou que a Funnull, uma operadora chinesa de CDN que comprou o domínio polyfill.io e sua conta GitHub associada em fevereiro, vem usando o serviço em um ataque à cadeia de suprimentos.
O Polyfill.io é usado pela biblioteca acadêmica JSTOR, bem como pela Intuit, Fórum Econômico Mundial e muitos outros.
Desde fevereiro, “este domínio foi pego injetando malware em dispositivos móveis por meio de qualquer site que incorpore cdn.polyfill.io”, alertou a Sansec, uma empresa de segurança de comércio eletrônico, acrescentando que quaisquer reclamações sobre atividades maliciosas desaparecem rapidamente do repositório do GitHub.
“O código polyfill é gerado dinamicamente com base nos cabeçalhos HTTP, então vários vetores de ataque são prováveis”, observou Sansec.
Na verdade, Andrew Betts, que criou o projeto de serviço de código aberto polyfill em meados da década de 2010, disse às pessoas no início deste ano para não usarem o polyfill.io de forma alguma. Pelo que entendemos, Betts manteve o projeto e contribuiu para seu repositório GitHub até alguns anos atrás, argumentando agora que ele realmente não é mais necessário.
Em fevereiro, ele disse que não tinha nada a ver com a venda do nome de domínio, e presumivelmente do repositório GitHub associado, para a CDN chinesa, e pediu a todos que removessem o código de suas páginas da web como precaução após a mudança de propriedade.
“Se você possui um site, carregar um script implica em uma incrível relação de confiança com essa terceira parte”, ele Xeeted na época. “Você realmente confia neles?”
Logo depois, outros provedores populares de CDN, incluindo Fastly , onde Betts trabalha hoje, e Cloudflare, criaram espelhos do polyfill.io para que os sites pudessem continuar a usar o código por enquanto sem ter que carregar coisas de uma entidade chinesa.
“A preocupação é que qualquer site que incorpore um link para o domínio original polyfill.io agora dependerá do Funnull para manter e proteger o projeto subjacente para evitar o risco de um ataque à cadeia de suprimentos”, disseram Sven Sauleau e Michael Tremante, da Cloudflare , em fevereiro.
“Tal ataque ocorreria se o terceiro subjacente fosse comprometido ou alterasse o código fornecido aos usuários finais de maneiras nefastas, fazendo com que, por consequência, todos os sites que usam a ferramenta fossem comprometidos”, acrescentaram.
Agora parece que é esse o caso. ®
