Ponad 100 tysięcy stron dotkniętych chińskim atakiem na łańcuch dostaw

Polyfill pozwala na działanie nowych funkcjonalności w starszych przeglądarkach, które natywnie ich nie wspierają. Jest to kawałek kodu, zazwyczaj w JavaScript. Polyfill.io używa ponad 100 tysięcy stron internetowych. Wspomniane strony wykorzystują domenę cdn.polyfill.io. Jedno z przekierowań prowadziło do strony bukmacherskiej.

Twórca Polyfill o projekcie

Andrew Betts zaznaczył, że pomimo utworzenia polyfill nigdy nie posiadał domeny polyfill.io. Nie miał również wpływu na jej sprzedaż.

Oprogramowanie w chińskim wydaniu

Na GitHubie miała miejsce dyskusja w kontekście działań firmy odpowiedzialnej za rozwój polyfill.io. Kontakt ze spółką był dosyć utrudniony, ponieważ oficjalny kanał na Telegramie był po chińsku.

Warto również zaznaczyć, że o złośliwym charakterze oprogramowania informowano już na GitHubie. „W tym momencie myślę, że możemy z całą pewnością stwierdzić, że CDN jest skompromitowany, bez konieczności dalszego zagłębiania się w pozostały zaciemniony kod.” – powiedział alitonium podczas dyskusji o właścicielu domeny.

Nietypowe zachowanie oprogramowania

Zgodnie z analizą Sansec złośliwy kod uruchamiał się jedynie na określonych urządzeniach i w wybranych porach dnia. Nie aktywował się podczas korzystania z konta administratora, a robił to z dużym opóźnieniem w momencie wykrycia narzędzi analitycznych w przeglądarce.

Należy również wspomnieć, że od 25 czerwca Google Ads są blokowane dla stron eCommerce wykorzystujących polyfill.io.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: .