/https://www.html.it/app/uploads/2024/06/malware.png "Polyfill.io: codice JavaScript malevolo in 100 mila siti Web")
Il nome a dominio polyfill.io sarebbe stato utilizzato per infettare migliaia di siti web tramite malware. Gli esperti di sicurezza che hanno segnalato il problema avrebbero consigliato a tutte le organizzazioni che lo utilizzano di rimuovere immediatamente qualsiasi codice JavaScript proveniente da questa piattaforma. Polyfill.io è infatti un provider di polyfill, script JavaScript che hanno lo scopo di aggiungere funzionalità mancanti ai browser più datati.
Il problema in un CDN
Stando alle notizie disponibili, il dominio cdn.polyfill.io sarebbe attualmente utilizzato in un attacco basato sulla supply chain. Non a caso Mountain View avrebbe iniziato a bloccare gli annunci di Google Ads per i siti Internet che utilizzano il codice potenzialmente dannoso. Questo con lo scopo di ridurre il traffico indirizzato verso di essi e di limitare il numero di infezioni.
If your website uses https://t.co/0V2y6VHu8n, remove it immediately.
In Feb, a Chinese company bought the domain & Github account. Since then, this domain was caught injecting malware on mobile devices via any site that embeds https://t.co/SmvnQ0E0nS https://t.co/hrkaPYA80j
— Weld Pond | Chris Wysopal (@WeldPond) June 26, 2024
I siti Web che incorporano script compromessi tramite polyfill.io (e bootcss.com) potrebbero reindirizzare i browser degli utenti costringendoli a caricare pagine appositamente confezionate dagli attaccanti. Gli esperti di sicurezza di Sansec hanno stimato in circa 100 mila i siti coinvolti.
Polyfill.io: un progetto open source
Il progetto Polyfill è stato creato da Andrew Betts che lo ha rilasciato sotto licenza open source. Vale comunque la pena di segnalare che all'inizio del 2024 lo stesso autore ha sconsigliato l'utilizzo della piattaforma. Questo dopo la vendita del nome a dominio a una società asiatica.
Altri popolari fornitori di servizi CDN (Content Delivery Network), come per esempio Fastly e Cloudflare, hanno generato dei mirror di polyfill.io in modo che per il momento i siti Web possano continuare a utilizzare il codice JavaScript senza doverlo caricare da polyfill.io.
Per altri progetti che dipendono direttamente da questo servizio di terze parti potrebbero verificarsi problemi a danno della continuità di servizio o degli utenti. In ogni caso non si tratterebbe di una novità assoluta in quanto l'attività di malware injection sarebbe stata rilevata per lo prima volta lo scorso febbraio. Il codice di polyfill.io viene generato dinamicamente negli header HTTP e ciò incrementa i vettori di attacco.
/https://www.html.it/app/uploads/2024/07/hacker-russi.jpg)
/https://www.html.it/app/uploads/2024/07/ransomware.jpg)
/https://www.html.it/app/uploads/2024/06/GitLab.jpg)
/https://www.html.it/app/uploads/2024/06/hacker-pmi.jpg)