Um exploit crítico acaba de entrar em cena, visando cdn.polyfill.io, um domínio popular para polyfills. Mais de 110.000 sítios Web foram comprometidos por este ataque à cadeia de abastecimento, que incorpora malware em activos JavaScript.
TL;DR
Se o seu sítio Web utiliza http://polyfill.io/, remova-o IMEDIATAMENTE.
Quem é afetado por este ataque à cadeia de abastecimento?
O cdn.polyfill.io foi desviado para servir scripts maliciosos. Isto significa que qualquer site que dependa deste domínio para polyfills - um método de adicionar novas funcionalidades a browsers mais antigos, como funções JavaScript modernas - está em risco. Investigadores de segurança da Sansec foram os primeiros a identificar as muitas instâncias de cargas úteis de malware, que incluíam o redireccionamento de utilizadores móveis para um site de apostas desportivas,
Este ataque à cadeia de fornecimento pode comprometer os dados dos seus utilizadores e a integridade das suas aplicações, e até inclui proteção integrada contra engenharia inversa e outros truques inteligentes para impedir que observe como afecta os seus utilizadores finais.
A equipa de investigação da Aikido adiciona continuamente novos alertas para dependências que utilizam pollyfill[.]io, o que deixaria as suas aplicações vulneráveis ao ataque à cadeia de abastecimento. Algumas dependências notáveis incluem:
- albertcht/invisible-recaptcha (Mais de 1 milhão de instalações)
- psgganesh/anchor
- carregador de polifilme-io
Uma vez que os detalhes sobre o ataque foram divulgados publicamente, a Namecheap colocou o nome de domínio em espera, impedindo quaisquer pedidos para o malware polyfill. Embora isso impeça a propagação do malware a curto prazo, deve continuar com uma correção adequada.
Como é que se pode corrigir esta vulnerabilidade?
Leia o seu código agora. A funcionalidade SAST do Aikido procura na sua base de código quaisquer instâncias de cdn.polyfill.io.
Crie uma conta Aikido para obter o seu código digitalizado
Quaisquer descobertas relacionadas com este ataque à cadeia de fornecimento de Polyfill irão saltar para o topo, uma vez que têm uma pontuação crítica de 100. Certifique-se de que remove imediatamente todas as instâncias detectadas de polyfills para se prevenir a si e aos utilizadores contra este ataque crítico à cadeia de abastecimento.
A boa notícia é que, de acordo com o autor original, é provável que possa remover cdn.polyfill.ioou qualquer um dos pacotes de dependências afectados, sem afetar a experiência do utilizador final da sua aplicação.
Atualmente, nenhum site requer qualquer um dos polyfills da biblioteca http://polyfill.io. A maioria das funcionalidades adicionadas à plataforma Web é rapidamente adoptada por todos os principais navegadores, com algumas excepções que geralmente não podem ser preenchidas com polifiltros, como o Web Serial e o Web Bluetooth.
Se necessitar de capacidades Polyfill, pode recorrer a alternativas recentemente implementadas da Fastly ou da Cloudflare.
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)