Возрождение Polyfill.io: 4% интернета может пострадать от ненадежного CDN-сервиса

Владельцы популярного сервиса Polyfill.io , оказавшегося в центре скандала из-за внедрения вредоносного кода на более 100 000 сайтов, перезапустили его под новым доменом после того, как оригинальный сайт был закрыт. Сервис теперь расположен на адресе Polyfill[.]com, который зарегистрирован в Namecheap (как и предыдущая версия сайта), который на данный момент уже не функционирует.

Представители проекта Polyfill заявили, что стали жертвами клеветы и опровергли наличие каких-либо рисков для сайтов. Компания откликнулась на обвинения в участии в крупномасштабной атаке на цепочку поставок, утверждая, что все их сервисы кэшируются в Cloudflare и безопасны для использования. Несмотря на заверения компании, факты, предоставленные экспертами по безопасности, говорят об обратном.

Компания Cloudflare также обратила внимание на несанкционированное использование своего названия и логотипа на сайте Polyfill.io. Cloudflare заявила, что Polyfill.io проигнорировала просьбы компании и не убрала логотип с сайта, что стало ещё одним предупреждающим сигналом о ненадёжности компании.

Название Cloudflare на сайте Polyfill

Cloudflare подтвердила заявления Sansec о том, что код, распространяемый через cdn .polyfill.io, действительно перенаправлял пользователей на сайты ставок. В Cloudflare сообщили, что «около 4% интернета» использовали cdn.polyfill.io, и назвали последствия атаки «крайне тревожными».

Cloudflare предпринимает меры по автоматической замене ссылок на Polyfill.io безопасным зеркалом на сайтах, которые защищены Cloudflare. Cloudflare советует владельцам сайтов искать в своих репозиториях кода упоминания Polyfill.io и заменять их на «cdnjs.cloudflare.com/polyfill/». Это некритическое изменение, так как оба URL будут предоставлять одинаковый контент Polyfill, однако всем администраторам рекомендуется сделать это.

Кроме того, Google начал уведомлять рекламодателей об этой атаке на цепочку поставок, предупреждая, что их целевые страницы содержат вредоносный код, который может перенаправлять посетителей без разрешения владельцев сайтов.

ИБ-компания Leak Signal также создала сайт Polykill.io, который позволяет искать сайты, использующие «cdn.polyfill.io», и предоставляет информацию о переходе на альтернативные решения. В свете всех событий владельцам сайтов и разработчикам настоятельно рекомендуется воздержаться от использования доменов polyfill и заменить их на более безопасные альтернативы.

Sancec обновила свой отчет, дополнив его доменами, которые использовались одним и тем же злоумышленником для распространения вредоносного ПО как минимум с июня 2023 года: bootcdn.net, bootcss.com, staticfile.net, staticfile.org, unionadjs.com, xhsbpza.com, union.macoms.la, newcrbpc.com.