A közelmúltban több biztonsági cég adott ki figyelmeztetést a polyfill.io szolgáltatás miatt. Amint azt a Bitport is megírta, az ún. ployfill szkripteket biztosító szolgáltatás és a hozzá tartozó GitHub repository az év elején került egy kínai CDN (content delivery network) tulajdonába. Nem sokkal később több webfejlesztő észlelt illegális tevékenységre utaló jeleket a polyfill.io kódjaiban. Végül a múlt hónap végén biztonsági kutatók azonosították, hogy az oldalt egy webes ellátási láncot érintő támadásban használják.
A polyfill.io olyan polyfill szkripteket biztosított weboldalakhoz, melyekbe rosszindulatú kódot építettek, ami minden olyan gépen lefut, amelyen megnyitnak egy fertőzött webhelyet. A módszerrel sokféle támadás hajtható végre. A témával foglalkozó szakemberek hangsúlyozták: ha valaki használta a polyfill.io-t, azonnal távolítsa el kódjából az onnan származó szkripteket.
Hiába függesztette fel a Namecheap domainnév-regisztrátor egy napon belül a domaint, illetve állt át sok webhely alternatív és biztonságos polyfill szolgáltatásokra – a két legismertebb, a Fastly és a Cloudflare által indított például pár nap alatt megháromszorozta felhasználói számát –, a netre kapcsolódó gépeken tovább élnek a veszélyes szkriptek. A Censys nevű biztonsági cég két napja mintegy 385 ezer olyan netes hostot azonosított, amelyen még mindig működnek ezek a polyfillek.
A hostok többsége Németországban található a Hetzner Online nevű internetszolgáltató hálózatában, de érintettek olyan gazdagépek is, melyek például a Hulu, a Mercedes-Benz, a Pearson és a Warner Bros. rendszereihez kapcsolódnak. A probléma nem kerülte el a kormányzati szolgáltatásokat sem.
Az arra vonatkozó becslések, hogy hány weboldal fertőződhetett meg világszerte, nagy határok között mozognak. De akár a Sansec nevű forensics cégnek van igaza, amely 110 ezerről, akár a a Cloudflare-nek, amely több tízmillióról beszél, az egyértelmű, hogy a támadás hatóköre nagyon széles, írja elemzésében a Censys.
Legalább egy éve garázdálkodnak
Bár maga a polyfill.io domain csak januárban került kínai kézbe, a Censys elemzői úgy vélik, hogy az incidens egy szélesebb, 2023 júniusában indult támadássorozat része lehet. A kampányban valószínűsíthetően érintett további négy másik domain is (bootcdn.net, bootcss.com, staticfile.net, staticfile.org), bár közülük csak egynél, a bootcss.com-nál lehetett egyértelműen azonosítani a rosszindulatú tevékenységet – a domaint a Google egy ideje kockázatosként tartotta nyilván. A kutatók szerint a domaineket ugyanaz a csoport irányíthatja.
Azt, hogy a támadás már legalább egy éve tarthat, egy kínai fejlesztői fórum bejegyzéséből derült ki. A fórumon tavaly júniusban valaki arra figyelmeztetett, hogy a cdn.bootcss.com-ról rosszindulatú kódot tartalmazó szkriptek érkeznek.
Nyílt forráskód: valóban ingyenes, de használatának szigorú szabályai vannak