超过 110,000 个网站受到劫持 Polyfill 供应链攻击的影响

在一家中国公司收购了该域名并修改了 JavaScript 库（“polyfill.js”）以将用户重定向到恶意和诈骗网站后，谷歌已采取措施屏蔽使用 Polyfill.io 服务的电子商务网站的广告。

Sansec在周二的一份报告中表示，超过110,000 个嵌入图书馆的站点受到供应链攻击的影响。

Polyfill 是一个流行的库，它支持 Web 浏览器中的现代功能。今年 2 月初，该公司被中国内容交付网络 (CDN) 公司 Funnull 收购，引发了人们的担忧。

该项目的原创者 Andrew Betts敦促网站所有者立即将其删除，并补充说“如今没有任何网站需要 polyfill[.]io 库中的任何 polyfill”，并且“添加到 Web 平台的大多数功能都很快被所有主流浏览器采用，但有一些例外通常无法通过 polyfill 实现，例如 Web Serial 和 Web Bluetooth。”

这一发展还促使网络基础设施提供商Cloudflare和Fastly提供替代端点，以帮助用户摆脱 polyfill[.]io。

Cloudflare 研究人员 Sven Sauleau 和 Michael Tremante 当时指出：“令人担心的是，任何嵌入指向原始 polyfill[.]io 域的链接的网站，现在都将依赖 Funnull 来维护和保护底层项目，以避免遭受供应链攻击的风险。”

“如果底层第三方受到攻击或以恶意方式更改提供给最终用户的代码，就会发生这种攻击，从而导致所有使用该工具的网站都受到攻击。”

这家荷兰电子商务安全公司表示，域名“cdn.polyfill[.]io”被发现注入恶意软件，将用户重定向至体育博彩和色情网站。

“该代码具有针对逆向工程的特定保护，并且仅在特定时间在特定移动设备上激活，”它表示。“当检测到管理员用户时，它也不会激活。当发现网络分析服务时，它还会延迟执行，大概是为了不出现在统计数据中。”

总部位于旧金山的 c/side 也发布了自己的警告，指出域名维护者在 2024 年 3 月 7 日至 8 日期间在其网站中添加了 Cloudflare 安全保护标头。

这一发现是在发布有关影响 Adob​​e Commerce 和 Magento 网站 ( CVE-2024-34102 ，CVSS 评分：9.8)的严重安全漏洞的公告之后发现的，尽管自 2024 年 6 月 11 日起就已发布修复程序，但该漏洞仍然基本未得到修补。

Sansec表示：“它本身允许任何人读取私人文件（例如带有密码的文件）。”他的攻击链代号为 CosmicSting。“然而，结合Linux 中最近的 iconv 漏洞，它变成了远程代码执行的安全噩梦。”

此后，第三方无需使用易受 iconv 问题 (CVE-2024-2961) 攻击的 Linux 版本即可获得 API 管理员访问权限，这使得该问题更加严重。