Um exploit crítico acaba de surgir, visando cdn.polyfill.io, um domínio popular para polyfills. Mais de 110.000 sites foram comprometidos por este ataque à cadeia de suprimentos, que incorpora malware em ativos JavaScript.
TL;DR
Se o seu site usa http://polyfill.io/, remova-o IMEDIATAMENTE.
Quem é afetado por este ataque à cadeia de suprimentos?
O cdn.polyfill.io domínio foi sequestrado para veicular scripts maliciosos. Isso significa que qualquer site que dependa deste domínio para polyfills — um método de adicionar novas funcionalidades a navegadores mais antigos, como funções modernas de JavaScript — está em risco. Pesquisadores de segurança da Sansec foram os primeiros a identificar as muitas instâncias de payloads de malware, que incluíam o redirecionamento de usuários móveis para um site de apostas esportivas,
Este ataque à cadeia de suprimentos pode comprometer os dados dos seus usuários e a integridade das suas aplicações, e ainda inclui proteção integrada contra engenharia reversa e outros truques inteligentes para impedir que você observe como ele afeta seus usuários finais.
A Equipe de Pesquisa da Aikido adiciona continuamente novos avisos para dependências que utilizam pollyfill[.]io internamente, o que deixaria suas aplicações vulneráveis a ataques de supply chain. Algumas dependências notáveis incluem:
- albertcht/invisible-recaptcha (Mais de 1 milhão de instalações)
- psgganesh/anchor
- polyfill-io-loader
Desde que os detalhes sobre o ataque foram divulgados publicamente, a Namecheap colocou o nome de domínio em espera, impedindo quaisquer requisições ao malware polyfill. Embora isso impeça a disseminação do malware a curto prazo, você ainda deve prosseguir com uma remediação adequada.
Como você pode corrigir esta vulnerabilidade?
Escaneie seu código agora. O recurso SAST da Aikido escaneia sua base de código em busca de quaisquer instâncias de cdn.polyfill.io.
Crie uma conta Aikido para ter seu código escaneado
Quaisquer descobertas relacionadas a este ataque à cadeia de suprimentos Polyfill saltarão para o topo, pois possuem uma pontuação crítica de 100. Certifique-se de remover imediatamente todas as instâncias detectadas de polyfills para proteger você e seus usuários deste ataque crítico à cadeia de suprimentos.
A boa notícia é que, de acordo com o autor original, você provavelmente pode remover cdn.polyfill.io, ou qualquer um dos pacotes de dependência afetados, sem afetar a experiência do usuário final da sua aplicação.
Nenhum site hoje exige qualquer um dos polyfills da biblioteca http://polyfill.io. A maioria dos recursos adicionados à plataforma web é rapidamente adotada por todos os principais navegadores, com algumas exceções que geralmente não podem ser polyfilled de qualquer forma, como Web Serial e Web Bluetooth.
Se você realmente precisar de recursos Polyfill, você pode recorrer a alternativas recentemente implementadas da Fastly ou da Cloudflare.
