Polyfill 供应链攻击波及 10 万多个网站
6 月 25 日更新:谷歌已经开始屏蔽使用 polyfill.io 的电子商务网站的谷歌广告。 polyfill.js 是一个流行的开源库,用于支持旧版浏览器。 10 万多个网站 使用 cdn.polyfill.io 域名嵌入。知名用户包括 JSTOR、Intuit 和世界经济论坛。然而,今年 2 月,一家中国公司购买了该域名和 Github 帐户。此后,该域名被发现注入 恶意软件 通过嵌入 cdn.polyfill.io 的任何网站在移动设备上。所有投诉都很快被删除(存档在这里) 来自 Github 存储库。 polyfill 代码是根据 HTTP 标头动态生成的,因此可能存在多个攻击媒介。Sansec 解码了一个特定的恶意软件(见下文),该恶意软件会将移动用户重定向到 体育博彩网站 使用虚假的 Google 分析域名 (www.googie-anaiytics.com)。该代码具有针对逆向工程的特定保护,并且仅在特定时间在特定移动设备上激活。当检测到管理员用户时,它也不会激活。当发现网络分析服务时,它还会延迟执行,大概是为了不出现在统计数据中。 原本的 polyfill 作者 建议不要使用 Polyfill,因为现代浏览器已经不再需要它了。同时, 快速 和 Cloudflare 如果您仍然需要的话,已经提出了值得信赖的替代方案。 此事件是供应链攻击的典型案例。为了了解用户正在加载的代码,我们推荐使用我们的(免费)CSP 监控服务 Sansec Watch。 我们的 eComscan 后端扫描仪 还更新了 polyfill.io 检测。 […]