Ataque contra JavaScript
5 de Julho de 2024

O ataque à cadeia de suprimentos visando a amplamente utilizada biblioteca JavaScript Polyfill[.]io tem um alcance maior do que se pensava anteriormente, com novas descobertas da Censys mostrando que mais de 380.000 hosts estão incorporando um script polyfill que se conecta ao domínio malicioso até 2 de julho de 2024.

Isso inclui referências a "https://cdn.polyfill[.]io" ou "https://cdn.polyfill[.]com" em suas respostas HTTP, disse a empresa de gerenciamento de superfície de ataque.

"Aproximadamente 237.700 estão localizados dentro da rede Hetzner (AS24940), principalmente na Alemanha," observou.

"Isso não é surpreendente – Hetzner é um serviço de hospedagem web popular, e muitos desenvolvedores de sites o utilizam."

Análises adicionais dos hosts afetados revelaram domínios ligados a empresas proeminentes como WarnerBros, Hulu, Mercedes-Benz e Pearson que referenciam o endpoint malicioso em questão.

Os detalhes do ataque vieram à tona no final de junho de 2024, quando a Sansec alertou que o código hospedado no domínio Polyfill havia sido modificado para redirecionar os usuários para sites de conteúdo adulto e jogos de azar.

As mudanças no código foram feitas de modo que os redirecionamentos acontecessem apenas em certos momentos do dia e apenas contra visitantes que atendessem a critérios específicos.

Diz-se que o comportamento nefasto foi introduzido após o domínio e seu repositório associado no GitHub serem vendidos para uma empresa chinesa chamada Funnull em fevereiro de 2024.

Esse desenvolvimento levou o registrador de domínios Namecheap a suspender o domínio, redes de entrega de conteúdo como a Cloudflare a substituir automaticamente os links do Polyfill por domínios que levam a sites espelhos seguros alternativos e o Google a bloquear anúncios para sites que incorporam o domínio.

Embora os operadores tenham tentado relançar o serviço sob um domínio diferente chamado polyfill[.]com, ele também foi retirado do ar pela Namecheap até 28 de junho de 2024.

Dos outros dois domínios registrados por eles desde o início de julho – polyfill[.]site e polyfillcache[.]com – o último permanece ativo e operacional.

Além disso, foi descoberta uma rede mais extensa de domínios potencialmente relacionados, incluindo bootcdn[.]net, bootcss[.]com, staticfile[.]net, staticfile[.]org, unionadjs[.]com, xhsbpza[.]com, union.macoms[.]la, newcrbpc[.]com, vinculados aos mantenedores do Polyfill, indicando que o incidente pode fazer parte de uma campanha maliciosa mais ampla.

"Um desses domínios, bootcss[.]com, foi observado envolvido em atividades maliciosas muito semelhantes ao ataque polyfill[.]io, com evidências datando de junho de 2023," a Censys observou, adicionando que descobriu 1,6 milhão de hosts de frente pública que se conectam a esses domínios suspeitos.

"Não seria totalmente irrazoável considerar a possibilidade de que o mesmo ator malicioso responsável pelo ataque ao polyfill.io possa explorar esses outros domínios para atividades semelhantes no futuro."

Esse desenvolvimento ocorre enquanto a empresa de segurança WordPress Patchstack alertou sobre os riscos em cascata representados pelo ataque à cadeia de suprimentos Polyfill em sites que executam o sistema de gerenciamento de conteúdo (CMS) por meio de dezenas de plugins legítimos que se conectam ao domínio desonesto.

Publicidade

Proteja sua empresa contra hackers através de um Pentest

Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...