Polyfill.io: перехват просроченного домена привел к взлому более 100 тысяч сайтов

Более 100 000 сайтов подверглись массовой атаке на цепочку поставок со стороны сервиса Polyfill.io после того, как китайская компания Funnull приобрела домен, а скрипт сервиса был изменен для перенаправления пользователей на вредоносные и мошеннические сайты.

Polyfill — это фрагмент кода (обычно JavaScript ), добавляющий современную функциональность старым браузерам, которые не поддерживают его изначально. Например, Polyfill добавляет функции JavaScript, недоступные в старых браузерах, но присутствующие в современных.

Сервис polyfill.io используется сотнями тысяч сайтов, чтобы позволить всем посетителям использовать одну и ту же кодовую базу, даже если их браузеры не поддерживают те же современные функции, что и более новые.

Как объясняет ИБ-компания Sansec, в феврале китайская компания Funnull купила домен и учетную запись Polyfill на Github . С тех пор домен был пойман на внедрении вредоносного ПО на мобильные устройства через любой сайт, встраивающий cdn.polyfill.io.

Специалисты Sansec обнаружили, что модифицированный скрипт используется для перенаправления на фиктивный сайт букмекерской конторы и другие мошеннические страницы. Это делается через поддельный домен Google Analytics (www[.]googie-anaiytics[.]com) или редиректы, такие как kuurza.com/redirect?from=bitget.

Отличительной чертой вредоносного кода является его способность уклоняться от анализа: он активируется только на определенных мобильных устройствах в строго определенное время и отключается при обнаружении в системе администратора или службы веб-аналитики.

В ответ на возрастающую угрозу, сервисы Cloudflare и Fastly создали собственные зеркала Polyfill.io, чтобы обеспечить безопасное использование скриптов на затронутых сайтах. Кроме того, при продаже Polyfill.io разработчик проекта предупредил, что он никогда не владел сайтом Polyfill.io и что все веб-сайты должны немедленно удалить его.

Пост разработчика Polyfill.io

Google также вступила в борьбу с угрозой, предупредив рекламодателей о риске нежелательных перенаправлений с их лендинг-страниц. Отмечается, что Bootcss, Bootcdn и Staticfile также вызывают нежелательные перенаправления, потенциально добавляя тысячи, если не сотни тысяч сайтов, пострадавших от атак в цепочке поставок. Если Google обнаружит такие редиректы во время регулярных проверок рекламных мест, соответствующая реклама будет отклонена.