Ataque a la cadena de suministro dirigido al Polyfill ampliamente utilizado[.]La biblioteca io JavaScript tiene un alcance más amplio de lo que se pensaba anteriormente, con nuevos descubrimientos de Censys que muestra que más de 380.000 hosts integran un script polyfill vinculado al dominio malicioso a partir del 2 de julio de 2024.
Esto incluye referencias a “https://cdn.polyfill”[.]io” o “https://cdn.polyfill[.]com” en sus respuestas HTTP, dijo la empresa de gestión de superficie de ataque.
“Aproximadamente 237.700 de ellos se encuentran en la red Hetzner (AS24940), principalmente en Alemania”, señaló. “Esto no es sorprendente: Hetzner es un servicio de alojamiento web popular y muchos desarrolladores de sitios web lo utilizan. »
Un análisis más detallado de los hosts afectados reveló dominios vinculados a empresas de alto perfil como WarnerBros, Hulu, Mercedes-Benz y Pearson que hacen referencia al punto final malicioso en cuestión.
Los detalles del ataque se revelaron a finales de junio de 2024 cuando Sansec alertó que el código alojado en el dominio Polyfill se había modificado para redirigir a los usuarios a sitios web para adultos y con temas de juegos de apuestas. Los cambios en el código se realizaron de manera que las redirecciones solo se realizaran en ciertos momentos del día y solo contra visitantes que cumplieran ciertos criterios.
Este comportamiento dañino supuestamente se introdujo después de la venta del dominio y su repositorio GitHub asociado a una empresa china llamada Funnull en febrero de 2024.
Desde entonces, este desarrollo ha llevado al registrador de dominios Namecheap a suspender el dominio, a las redes de entrega de contenido como Cloudflare a reemplazar automáticamente los enlaces de Polyfill con dominios que conducen a sitios espejo alternativos seguros y a Google a bloquear los anuncios para los sitios que integran el dominio.
Mientras los operadores intentaban relanzar el servicio bajo otro dominio llamado polyfill[.]com, también fue desmontado por Namecheap con fecha 28 de junio de 2024. otras dos áreas grabado por ellos desde principios de julio – polyfill[.]sitio y polyfillcache[.]com – este último permanece operativo.
Además de esto, un plus Amplia red de dominios potencialmente relacionados, incluido bootcdn[.]red, arranque[.]com, archivo estático[.]neto, archivo estático[.]org, uniónadjs[.]con, xhsbpza[.]con, unión.macoms[.]el, nuevocrbpc[.]com, se descubrió que estaba vinculado a funcionarios de Polyfill, lo que indica que el incidente podría ser parte de una campaña maliciosa más amplia.
“Uno de estos dominios, bootcss[.]com, se ha observado que participa en actividades maliciosas muy similares a polyfill[.]“Un ataque io, con evidencia que se remonta a junio de 2023”, señaló Censys, y agregó que descubrió 1,6 millones de servidores públicos vinculados a estos dominios sospechosos.
“No sería del todo descabellado considerar la posibilidad de que el mismo actor malicioso responsable del ataque polyfill.io pueda explotar estos otros dominios para actividades similares en el futuro. »
El desarrollo surge como empresa de seguridad de WordPress Patchstack prevenido Riesgos en cascada que plantea el ataque a la cadena de suministro de Polyfill en sitios que ejecutan el sistema de gestión de contenidos (CMS) a través de docenas de complementos legítimos vinculados al dominio malicioso.