O ataque à cadeia de suprimentos direcionado à biblioteca JavaScript Polyfill(.)io amplamente utilizada tem um escopo mais amplo do que se pensava anteriormente, com novas descobertas da Censys mostrando que mais de 380.000 hosts estão incorporando um script polyfill vinculado ao domínio malicioso em 2 de julho de 2024.
Isso inclui referências a “https://cdn.polyfill(.)io” ou “https://cdn.polyfill(.)com” em suas respostas HTTP, disse a empresa de gerenciamento de superfície de ataque.
“Aproximadamente 237.700 estão localizados na rede Hetzner (AS24940), principalmente na Alemanha”, observou. “Isso não é surpreendente – Hetzner é um serviço fashionable de hospedagem na internet, e muitos desenvolvedores de websites o alavancam.”
Uma análise mais aprofundada dos hosts afetados revelou domínios vinculados a empresas importantes como WarnerBros, Hulu, Mercedes-Benz e Pearson que fazem referência ao endpoint malicioso em questão.
Os detalhes do ataque surgiram no last de junho de 2024, quando a Sansec alertou que o código hospedado no domínio Polyfill havia sido modificado para redirecionar usuários para websites com temas adultos e de jogos de azar. As alterações no código foram feitas de forma que os redirecionamentos só ocorressem em determinados horários do dia e apenas contra visitantes que atendessem a determinados critérios.
Diz-se que o comportamento nefasto foi introduzido depois que o domínio e seu repositório GitHub associado foram vendidos para uma empresa chinesa chamada Funnull em fevereiro de 2024.
O desenvolvimento levou o registrador de domínio Namecheap a suspender o domínio, redes de distribuição de conteúdo como a Cloudflare a substituir automaticamente os hyperlinks do Polyfill por domínios que levam a websites espelho seguros alternativos, e o Google a bloquear anúncios de websites que incorporam o domínio.
Enquanto os operadores tentavam relançar o serviço sob um domínio diferente chamado polyfill(.)com, ele também foi retirado do ar pela Namecheap em 28 de junho de 2024. Dos outros dois domínios registrados por eles desde o início de julho – polyfill(.)website e polyfillcache(.)com – o último permanece ativo e funcionando.
Além disso, uma rede mais extensa de domínios potencialmente relacionados, incluindo bootcdn(.)web, bootcss(.)com, staticfile(.)web, staticfile(.)org, unionadjs(.)com, xhsbpza(.)com, union.macoms(.)la, newcrbpc(.)com, foi descoberta como vinculada aos mantenedores do Polyfill, indicando que o incidente pode ser parte de uma campanha maliciosa mais ampla.
“Um desses domínios, bootcss(.)com, foi observado envolvido em atividades maliciosas muito semelhantes ao ataque polyfill(.)io, com evidências que datam de junho de 2023”, observou a Censys, acrescentando que descobriu 1,6 milhão de hosts públicos vinculados a esses domínios suspeitos.
“Não seria totalmente irracional considerar a possibilidade de que o mesmo agente malicioso responsável pelo ataque polyfill.io pudesse explorar esses outros domínios para atividades semelhantes no futuro.”
O desenvolvimento ocorre no momento em que a empresa de segurança WordPress Patchstack alerta sobre os riscos em cascata representados pelo ataque à cadeia de suprimentos da Polyfill em websites que executam o sistema de gerenciamento de conteúdo (CMS) por meio de dezenas de plugins legítimos vinculados ao domínio desonesto.
