Több biztonsági cég is riasztást adott ki egy polyfill kódokat biztosító domain miatt. Az év elején egy kínai CDN (content delivery network), a Funnull vette meg a pollyfill.io-t, valamint a hozzá tartozó GitHub repót. Az oldal olyan JavaScript-kódokat biztosít régebbi böngészőkhöz, amelyek a böngészők újabb verzióban már alapból benne vannak. Ezzel biztosítható, hogy adott webes kód szélesebb körben legyen elérhető.

Magát a nyílt forráskódú szolgáltatást egy Andrew Betts nevű fejlesztő indította a 2010-es évek közepén, és ő gondozta néhány évvel ezelőttig a hozzá tartozó GitHub repóval együtt. Biztonsági szakértők elemzése szerint azonban mióta kínai tulajdonba került, a szolgáltatást egy webes ellátási láncot érintő támadásban használják. A domain ugyanis olyan polyfill szkripteket biztosít, melyekbe rosszindulatú kódot építettek be. Így ha valaki olyan webhelyet nyit meg a böngészőjében, amely a polyfill.io-ról szedi ezeket a szkripteket, gépe lefuttatja a rosszindulatú kódot. A felhasználó csak azt érzékeli, hogy amikor meglátogatja az ilyen fertőzött oldalt, az egyszer csak váratlanul átdobja egy másik, rosszindulatú webhelyre.

A problémára már korábban is többen felfigyeltek, és jelezték a domainhez tartozó GitHub repóban, hogy a pollyfill.io-t rosszindulatú tevékenységre használhatják, ezért kerülendő a szolgáltatás. Ezeket a bejegyzések ugyan gyorsan törölte a repó kezelője, ám a Wyback Machine megőrizte.

A The Register információ szerint a problémára a Google is felfigyelt, ezért blokkolja a domainről származó szkripteket használó oldalakon a Google-hirdetéseket. A Google szóvivője azt mondta a lapnak, hogy ezzel próbálják csökkenteni a cdn.polyfill.io-ra és a bootcss.com-ra irányuló forgalmat, ezáltal a potenciális áldozatok számát. Értesítették az érintett webhelyek üzemeltetőit, valamint az X-en is közzétettek egy figyelmeztetést.

Egy főleg e-kereskedelmi oldalakra szakosodott forensics cég, a Sansec szerint eddig több mint 110 ezer weboldal fertőződött meg (az érintett domainek listája itt érhető el). Olyan szervezetek oldalai is veszélybe kerültek, mint a JSTOR tudományos könyvtár, a főleg pénzügyi szoftvereket fejlesztő Intuit vagy a World Economic Forum.

A Sansec elemzői arra figyelmeztetnek, hogy mivel a veszélyes polyfill kódok dinamikusan generálódnak a HTTP-fejlécek alapján, így több támadási vektort is lehetővé tesznek.

A létrehozója szerint fölösleges is használni

Andrew Betts egyébként már a kínai felvásárlás után nem sokkal jelezte a potenciális biztonsági kockázatot egy az X-en közzétett posztban. A szolgáltatás használóinak pedig azt javasolta, hogy mielőbb távolítsák el kódjukból az onnan származó szkripteket. Szerinte egyébként ma már fölösleges is ilyen szolgáltatást használni.

Betts februári figyelmeztetése után mindenesetre több CDN-szolgáltató, pl. Fastly és a Cloudflare is létrehozott egy polyfill.io-tükrözést, hogy a webhelyeknek ne kelljen a Funnull kínai szervereiről betölteni a polyfill kódokat.

_{(Illusztráció forrása: Wikipedia)}