Интернет-чума: атака на Polyfill.io поразила свыше 380 000 хостов

Недавнее исследование компании Censys выявило, что кибератака на JavaScript -библиотеку Polyfill.io , о которой мы впервые писали в конце июня, оказалась более масштабной, чем считалось ранее. На 2 июля 2024 года свыше 380 000 хостов включают скрипт Polyfill, связанный с вредоносным доменом.

Сам по себе Polyfill — это программный код, который предоставляет функциональность, отсутствующую в старых версиях веб-браузеров. Он позволяет разработчикам использовать современные веб-стандарты и технологии, даже если они не поддерживаются. Polyfill заполняет пробелы в функциональности, обеспечивая совместимость и корректную работу веб-приложений на различных платформах.

Атака затронула сайты, использующие ссылки на cdn.polyfill.io или cdn.polyfill.com в своих HTTP-ответах. Значительная часть затронутых сайтов, около 237 700, расположена в сети Hetzner в Германии, что неудивительно, поскольку Hetzner популярен среди веб-разработчиков.

Среди пострадавших оказались сайты таких известных компаний, как WarnerBros, Hulu, Mercedes-Benz и Pearson, ссылающиеся на вредоносный домен. Атака была обнаружена в конце июня 2024 года, когда компания Sansec сообщила, что код на домене Polyfill был изменён для перенаправления пользователей на сайты с тематикой для взрослых и азартных игр. Эти изменения активировались в определённое время суток и только для определённых пользователей.

Изменения в коде произошли после того, как домен и связанный с ним репозиторий GitHub были проданы китайской компании Funnull в феврале 2024 года. После обнаружения атаки регистратор доменов Namecheap приостановил действие домена, а специализирующиеся на безопасности интернет-инфраструктуры компании, такие как Cloudflare, начали автоматически заменять ссылки Polyfill на безопасные зеркальные сайты. Тем временем, Google заблокировал рекламу для сайтов, использующих этот домен.

Попытки операторов возобновить работу под другим доменом polyfill.com также были пресечены Namecheap к 28 июня 2024 года. Из двух новых доменов, зарегистрированных с начала июля — polyfill.site и polyfillcache.com — последний остаётся активным.

Кроме того, был обнаружен более обширный список связанных доменов, включая bootcdn.net, bootcss.com, staticfile.net, staticfile.org и другие. Это указывает на то, что инцидент может быть частью более масштабной злонамеренной кампании.

Один из этих доменов, bootcss.com, был замечен в аналогичных вредоносных действиях, как и Polyfill.io, начиная с июня 2023 года. Censys обнаружила 1,6 миллиона хостов, связанных с этими подозрительными доменами. «Не исключено, что тот же злоумышленник, ответственный за атаку на polyfill.io, может использовать эти домены для аналогичных действий в будущем», — отметили в Censys.

Компания Patchstack, занимающаяся безопасностью WordPress, также предупредила о рисках, связанных с атаками на цепочку поставок Polyfill для сайтов, использующих данную систему управления контентом через десятки легитимных плагинов, ссылающихся на вредоносный домен.