ADVERTISEMENT
一家中國機構今年初收購 polyfill.io 網域後,該網域已被用於感染超過 10 萬個網站。
多家安全公司週二發出警報,警告使用 pollyfill.io 網域中任何 JavaScript 程式碼的網站立即將其刪除。
該網站提供 polyfills,這些是有用的 JavaScript 程式碼片段,可以為較舊的瀏覽器加入新版本中內建的功能。這些填充的程式碼使開發人員的生活更輕鬆,因為透過使用 polyfillers,他們可以讓自己的網路程式碼在廣泛的瀏覽器上運行。
現在知道 pollyfill.io 正在提供隱藏在這些腳本中的惡意程式碼,這意味著任何造訪使用該域的網站的任何人都將在他們的瀏覽器中運行該惡意軟體。
安全監測公司 c/side 的 Carlo D'Agnolo 在一份諮詢報告中表示:「cdn.polyfill.io 網域目前正被用於網路供應鏈攻擊。它過去曾用於為網站加入 JavaScript polyfills 的服務,但現在正在向終端使用者提供的腳本中插入惡意程式碼。」
此外,也了解到 Google 已開始屏蔽使用受影響程式碼的 Google Ads,推測是為了減少這些網站的流量並降低潛在受害者的數量。受影響的網站所有者也已收到Google的提醒。
Google 發言人說:「我們最近發現了一個安全問題,可能會影響使用第三方廠商庫的網站。為了幫助可能受到影響的廣告客戶保護他們的網站安全,我們一直在主動分享有關如何快速處理該問題的資訊。」
Google 告訴廣告商,從 polyfill.io 和 bootcss.com 嵌入受感染腳本的網站最終可能會將造訪者意外重轉向到惡意網站。
據電子商務安全公司 Sansec 的安全鑑識團隊稱,已有超過 10 萬個網站攜帶惡意腳本。Sansec 週二聲稱,今年 2 月購買 polyfill.io 域及其關聯的 GitHub 帳戶的中國 CDN 營運商 Funnull 之後一直在使用該服務進行供應鏈攻擊。
JSTOR 學術圖書館以及 Intuit、世界經濟論壇等都使用了 Polyfill.io。
Sansec 警告說,自 2 月以來,「這個域被發現透過嵌入 cdn.polyfill.io 的任何網站向行動裝置注入惡意軟體」,並補充說,任何有關惡意活動的投訴都很快從 GitHub 儲存庫中消失了。
Sansec 指出:「polyfill 程式碼是根據 HTTP 標頭動態產生的,因此可能存在多個攻擊向量。」
事實上,在 2010 年代中期創建開源 polyfill 服務項目的 Andrew Betts 今年早些時候告訴人們完全不要使用 polyfill.io。據了解,Betts 維護該專案並為其 GitHub repo 做出了貢獻,直到幾年前,現在認為它確實不再需要。
今年 2 月,他表示自己與域名出售給中國 CDN 無關(可能也包括相關的 GitHub 儲存庫),並敦促所有人在所有權變更後謹慎起見從他們的網頁中移除其程式碼。
「如果你擁有一個網站,載入一個腳本意味著與第三方之間存在令人難以置信的信任關係,」他當時在 X(前身為 Twitter)上說。「你真的信任他們嗎?」
不久之後,包括 Fastly(Betts 現在工作的地方)和 Cloudflare 在內的其他流行 CDN 提供商創建了 polyfill.io 的鏡像,以便網站可以繼續使用該程式碼,同時不必從中國實體載入內容。
不久之後,其他流行的 CDN 提供商,包括 Betts 現在工作的 Fastly 和 Cloudflare,創建了 polyfill.io 的安全備份檔案,以便網站可以暫時繼續使用該程式碼,而不必從中國載入內容。
Cloudflare 的 Sven Sauleau 和 Michael Tremante 在 2 月份表示:「令人擔憂的是,任何嵌入指向原始 polyfill.io 網域的連結的網站現在都將依靠 Funnull 來維護和保護底層項目,以避免供應鏈攻擊的風險。」
他們補充說:「如果底層第三方被攻破或以惡意方式更改提供給最終使用者的程式碼,就會發生這樣的攻擊,結果導致所有使用該工具的網站都被攻破。」
現在看來,這種情況似乎已經發生了。
請注意!留言要自負法律責任,相關案例層出不窮,請慎重發文!