Новости Более 100 000 сайтов пострадали после атаки на цепочку поставок, затронувшей Polyfill[.]io

  • Автор темы BOOX
  • Дата начала

BOOX

Стаж на ФС с 2012 года
Команда форума
Служба безопасности
Private Club
Регистрация
23/1/18
Сообщения
28.781
Репутация
11.595
Реакции
61.694
RUB
50
Исследователи предупредили об атаке на цепочку поставок, затронувшей более 100 000 сайтов, использующих cdn.polyfill[.]io.


Дело в том, что домен приобрела китайская компания, после чего скрипт был модифицирован для перенаправления пользователей на вредоносные и мошеннические сайты.
Термином («полифил») обозначают код, реализующий какую-либо функциональность, которая не поддерживается в некоторых версиях браузеров. Например, полифил может добавлять JavaScript-функциональность, которая недоступна для старых браузеров, но уже присутствует в современных.

UWzW6t8.jpg


Сервис polyfill[.]io используется множеством сайтов, чтобы все их посетители могли пользоваться одной и той же кодовой базой, даже если их браузеры не поддерживают какие-то современные функции.
НО на этой неделе специалисты компании забили тревогу и предупредили, что в начале текущего года сервис и домен polyfill[.]io были китайской компанией Funnull, после чего скрипт был модифицирован для внедрения вредоносного кода на сайты. То есть произошла масштабная атака на цепочку поставок.

«В феврале текущего года китайская компания выкупила домен и связанный с ним аккаунт на Github. С тех пор этот домен был замечен за внедрением вредоносного кода на мобильные устройства через любой сайт, где размещен cdn.polyfill.io».

В феврале 2024 года, вскоре после новости о покупке разработчик оригинального проекта, Эндрю Беттс, , что он никогда не был владельцем polyfill[.]io и не имел к нему отношения, а всем владельцам сайтов следует немедленно избавиться от этого кода. Беттс, создавший опенсорсный проект polyfill еще в середине 2010-х годов, вообще посоветовал людям прекратить использовать polyfill[.]io, так как в современном мире в этом уже нет никакой нужды.

Дошло до того, что для снижения рисков потенциальной атаки на цепочку поставок и (где теперь работает Беттс) создали собственные зеркала сервиса, чтобы сайты могли продолжать пользоваться надежной версией.

Увы, в итоге опасения разработчика полностью оправдались: CNAME запись polyfill[.]io была изменена на polyfill[.]io.bsclink.cn, который поддерживается новыми владельцами. В результате, когда разработчики встраивали скрипты cdn.polyfill[.]io на свои сайты, они получали код непосредственно с сайта китайской компании.

Вскоре администраторы начали замечать, что новые владельцы внедряют вредоносный код, перенаправляющий посетителей на нежелательные ресурсы без ведома владельцев сайтов.

Эксперты Sansec приводят пример, в котором модифицированный скрипт используется для перенаправления пользователей на скамерские сайты, например, фейковый сайт Sportsbook. Для этого используется фальшивый домен Google analytics (www.googie-anaiytics[.]com) или редиректы типа kuurza[.]com/redirect?from=bitget.

По словам исследователей, полностью проанализировать модифицированный скрипт весьма сложно, поскольку он использует очень специфические таргетинг и устойчив к реверс-инжинирингу.

«Код имеет специальную защиту от реверс-инжиниринга и активируется только на определенных мобильных устройствах в определенные часы, — рассказывают в Sansec. — Вредоносный код динамически генерирует полезную нагрузку на основе HTTP-заголовков, активируется только на определенных мобильных устройствах, ускользая от обнаружения, избегает пользователей-администраторов и откладывает выполнение. Кроме того, код обфусцирован».

Пока пользователей перенаправляют на сайты спортивных ставок или ресурсы для взрослых (вероятно, основываясь на их местоположении), однако в любой момент могут быть реализованы новые атаки, включая перехват форм, перехват кликов и кражу данных.

В настоящее время домен cdn.polyfill[.]io и вовсе перенаправлен на Cloudflare по непонятным причинам. Однако, поскольку DNS-серверы домена остаются неизменными, владельцы могут в любой момент переключить его обратно на собственные домены.
ИБ-компания Leak Signal создала специальный сайт , который позволяет находить сайты, использующие cdn.polyfill[.]io, и предоставляет информацию о переходе на альтернативные решения.

Кроме того, компания Google начала уведомлять рекламодателей об этой атаке на цепочку поставок, предупреждая, что их целевые страницы содержат вредоносный код и могут перенаправлять посетителей на другие ресурсы без ведома или разрешения со стороны владельца сайта.



Компания предупреждает, что Bootcss, Bootcdn и Staticfile так же вызывают нежелательные перенаправления, что потенциально добавляет тысячи, если не сотни тысяч сайтов в список пострадавших.

Google сообщает, что если при регулярной проверке будут обнаружены такие редиректы, соответствующая реклама будет отклонена. Многие рекламодатели уже жалуются на , что Google не принимает их рекламу примерно с 15 июня, если обнаруживает редирект googie-anaiytics.


 
Новые данные по атаке на Polyfill[.]io: затронуты 380 тысяч хостов.


Атака на цепочку поставки популярной JavaScript-библиотеки Polyfill[.]io оказалось куда более масштабной, чем эксперты предполагали изначально. Выяснилось, что она затрагивает 380 тысяч хостов на начало июля 2024 года. Согласно новому отчёту компании Censys, все затронутые хосты содержали скрипт polyfill, связанный с вредоносным доменом.

В HTTP-ответах присутствуют отсылки к «https://cdn.polyfill[.]io» или «https://cdn.polyfill[.]com».

polyfill_new_info_news.png


«Приблизительно 237 300 доменов размещены в сети Hetzner (AS24940) — в основном к Германии. В этом нет ничего удивительного, ведь Hetzner является популярным хостером, который любят владельцы многих веб-сайтов», — пишут исследователи.

Анализ масштабов атаки на цепочку поставки выявил среди затронутых компаний всем известные имена: WarnerBros, Hulu, Mercedes-Benz и Pearson.
Ранее специалисты Sansec сообщали о 100 тыс. затронутых сайтов, однако теперь выясняется, что их намного больше. Вредоносная активность началась после того, как китайская компания Funnull приобрела домен и сервис polyfill.io.

Когда стало понятно, что пользователей перенаправляют на сомнительные ресурсы, регистратор доменов Namecheap приостановил работу домена, а сети доставки контента вроде Cloudflare начали автоматически заменять ссылки Polyfill на альтернативные URL, ведущие на безопасные зеркала. Google со своей стороны заблокировала рекламу сайтов, в которые был встроен сомнительный домен.

1-data.webp


Тем не менее в сети X сообщается об ещё двух доменах — polyfill[.]site и polyfillcache[.]com, которые до их пор функционируют. Среди связанных эксперты отмечают следующие:

  • bootcdn[.]net,
  • bootcss[.]com,
  • staticfile[.]net,
  • staticfile[.]org,
  • unionadjs[.]com,
  • xhsbpza[.]com,
  • union.macoms[.]la,
  • newcrbpc[.]com.


 
Сверху Снизу