Polyfill – z bežnej webovej knižnice malvér

Po odkúpení služby Polyfill.io, ktorá poskytuje knižnicu pre webové aplikácie polyfill.js, sa zistilo, že nový majiteľ upravil funkcionalitu skriptu tak, aby presmerovával požívateľov na škodlivé webstránky. Odporúčame prestať danú knižnicu používať, alebo nahradiť jej zdroj dôveryhodným zdrojom.

Zraniteľné systémy:

  • Polyfill.js (Polyfill.io, Polyfill.com, … vlastnené spoločnosťou Funnull)

Opis zraniteľnosti:

Čínska firma Funnull kúpila vo februári doménu služby Polyfill.io, ktorá poskytuje knižnicu polyfill.js, spolu s účtom na platforme Github. Uvedená JavaScriptová knižnica poskytuje podporu niektorých funkcionalít webových prehliadačov. Krátko po odkúpení začala knižnica presmerovávať používateľov na škodlivé webové stránky. Spoločnosť totiž knižnicu upravila.

Škodlivá funkcionalita presmerovávala používateľov na určitých mobilných zariadeniach v určitých časoch na stránky spojené so stávkovaním a s pornografickým obsahom. Pokiaľ detegovala administrátorské oprávnenia, presmerovanie sa nespustilo.

Knižnicu v súčasnosti využíva vyše 110 000 webstránok. Podľa vyjadrenia zakladateľa projektu Andrewa Bettsa knižnica už v dnešnej dobe nie je potrebná, pretože prehliadače jej funkcionality implementujú priamo vo svojom kóde.

Možné škody:

  • Presmerovanie na škodlivé webstránky

Odporúčania:

Vývojári polyfill.js odporúčajú bezodkladne odstrániť túto knižnicu z Vašich webových aplikácií. Pokiaľ potrebujete využívať jej funkcionality, môžete ju nahradiť dôveryhodnými zdrojmi polyfill.js od Fastly alebo Cloudflare.

Zabezpečte sa voči útokom na knižnice JS tretích strán:

  • Monitorujte nezvyčajnú aktivitu služieb tretích strán
  • Implementujte Content Security Policy (CSP), čím obmedzíte zdroje, odkiaľ môžu Vaše služby načítavať knižnice a skripty
  • Implementujte Subresource Integrity (SRI), čím zabezpečíte, že skripty tretích strán neboli pozmenené
  • Manažujte závislosti, obmedzte ich na nutné minimum a pravidelne ich aktualizujte

Indikátory kompromitácie:

  • hXXps://kuurza.com/redirect?from=bitget
  • hXXps://www.googie-anaiytics.com/html/checkcachehw.js
  • hXXps://www.googie-anaiytics.com/ga.js
  • hXXps://cdn.bootcss.com/highlight.js/9.7.0/highlight.min.js
  • hXXps://union.macoms.la/jquery.min-4.0.2.js
  • hXXps://newcrbpc.com/redirect?from=bscbc
  • bootcdn[.]net
  • staticfile[.]net
  • staticfile[.]org
  • unionadjs[.]com
  • xhsbpza[.]com

Zdroje:

https://sansec.io/research/polyfill-supply-chain-attack

https://thehackernews.com/2024/06/over-110000-websites-affected-by.html

https://www.sonatype.com/blog/polyfill.io-supply-chain-attack-hits-100000-websites-all-you-need-to-know

https://blog.cloudflare.com/automatically-replacing-polyfill-io-links-with-cloudflares-mirror-for-a-safer-internet

https://polykill.io/

https://www.bleepingcomputer.com/news/security/polyfillio-bootcdn-bootcss-staticfile-attack-traced-to-1-operator/