据报道,合法网站已被曾经有用的Polyfill [。]托管JavaScript代码进行了妥协,其新所有者已更改,导致网站无意间将用户链接到恶意网站。
根据ARS Technica,在Polyfill [。] com多年来可用的JavaScript代码是一个受人尊敬的开源项目,使较旧的浏览器能够执行默认情况下不支持的复杂功能。
网站可以保证,通过包含指向cdn.polyfill [。] io的链接,可以在运行较旧浏览器的设备上呈现较新格式的材料。由于所有需要做的网站都嵌入了链接,因此免费服务受到了他们的喜爱。 Polyfill网站的代码处理了其余部分。
2月,总部位于中国的Funnull购买了JavaScript代码的托管GitHub帐户和域名。 Security Company Sansec的研究人员在6月25日透露,将修改后的代码放在多填充域上,将用户重定向到具有色情和赌博主题的网站。
该代码有目的地隐藏了重定向,仅适用于满足预定要求的访客,并且仅在一天中的特定时间内。
该披露引发了整个业务中采取行动的呼吁。域名注册商Namecheap在宣布SANSEC报告两天后暂停了该领域。
此操作有效地阻止了恶意代码在访问者设备上操作。即使在那时,诸如CloudFlare之类的内容交付网络也会自动替换为Pollyfill链接的安全镜像。 Google禁止用于结合Polyfill [。] IO域的网站的广告。
原始作者要求将其拆除
将域添加到网站阻止器Ublock Origin过滤器列表中。此外,polyfill.io的原始作者安德鲁·贝特(Andrew Betts)建议网站所有者一次正确地与图书馆的任何连接。
据安全公司Censys的研究人员称,在发现欺诈性活动的一周后,周二仍有384,773个域名与该网站链接。一些网站属于著名企业,包括华纳兄弟,梅赛德斯 - 奔驰,胡鲁和联邦政府。
最近的供应链攻击
结果突出了供应链攻击的潜力,该链接可能会感染数千或数百万依赖的共同来源,并将恶意软件传播给大量受众。
最近的违规行为似乎已有多个WordPress插件,授予黑客使用这些插件对任何网站的全面访问和其他破坏性功能。对于许多网站而言,供应链黑客仍然是一个持久的问题。
安全公司WordFence的研究人员声称,将恶意代码引入了五个WordPress插件中,创建了新的管理用户帐户,并将关联的信息传输回到攻击者的服务器中。
尽管最初是作为博客平台创建的,但WordPress此后已更改以允许出版不同类型的数字内容。研究指出,多达36,000个网站正在使用WordPress插件,而未识别的供应链攻击已经对其进行了支持。
当时,未知的威胁参与者正在将恶意功能引入WordPress.org上的插件升级,这是开源WordPress内容管理系统的官方领域。
部署后,更新会立即在攻击者的控制下建立管理员帐户,从而授予他们对被劫持的网站的全部授权。它们还包括有可能偏向搜索结果的材料。
