Polyfill库遭恶意软件注入,影响10万个网站

受信任的JavaScript库Polyfill.io成为恶意软件传播系统。安全专家揭露了此次攻击及其对网站访问者的潜在影响。了解此次供应链攻击如何凸显Web开发安全的重要性,以及开发人员可以采取哪些措施来保护用户。

一次重大供应链攻击已入侵使用Polyfill(Polyfill.io)的网站,Polyfill.io是一种JavaScript CDN服务,超过100000个网站使用该服务来传递JavaScript代码。安全研究人员警告称,cdnpolyfillio域名已被入侵,用于在脚本中提供恶意代码。必须指出的是,该域名于2024年2月被Funnull公司收购。

Polyfill.io是一个开源库,其中包含一些代码片段,可确保旧版浏览器能够理解仅在新版本中提供的功能。这样一来,开发人员就可以使用现代网络标准和API,而不会出现兼容性问题,并且可以编写代码,同时确保其在旧环境中正常运行。

Sansec在2024年6月25日发布的报告中写道,新所有者涉嫌向Polyfill.io库注入了恶意代码。继续使用受感染cdn.polyfill.io资源的网站在不知情的情况下将访问者暴露在潜在威胁之下。

Sansec的研究显示:“今年2月,一家中国公司购买了该域名和GitHub帐户。从那时起,该域名被发现通过任何嵌入cdn.polyfill.io的网站向移动设备注入恶意软件。”

旧金山安全监控公司c/side创始人Simon Wijckmans也在其公告中发出警告,敦促网站所有者从其应用程序中删除polyfillio域名。Wijckmans指出,攻击者隐藏了该域名,类似于JavaScript威胁,这为恶意行为者提供了一条诱人的途径。

进一步调查发现,恶意代码根据HTTP标头生成有效负载,从而逃避检测并避开管理员用户。该代码通过使用cdnpolyfillio的网站注入设备。用户可能会收到被篡改的JavaScript文件,包括虚假的Google Analytics链接,将其重定向到体育博彩和色情网站。恶意代码是JavaScript,可能会引入新的攻击,例如表单劫持、点击劫持和更广泛的数据盗窃。

开发人员Andrew Betts在2月份警告Polyfill用户可能存在恶意活动。Betts在X上的帖子中建议用户在出售后停止使用polyfillio域名并删除对CDN的引用。

Google已屏蔽使用Polyfill.io服务的电子商务网站的广告,并主动分享了如何缓解此问题的信息,以帮助受影响的广告商保护其网站。网络基础设施提供商Cloudflare和Fastly已提供替代端点,以帮助用户摆脱polyfillio。

Polyfill.io事件凸显了供应链安全、持续监控和开源协作在Web开发中的重要性。开发人员在集成外部资源时应谨慎行事,并优先考虑安全实践。定期的安全审计和代码审查对于识别漏洞和防止利用至关重要。

发表评论

评论已关闭。

相关文章