Un exploit crítico acaba de surgir, dirigido a cdn.polyfill.io, un dominio popular para polyfills. Más de 110.000 sitios web han sido comprometidos por este ataque a la cadena de suministro, que incrusta malware en activos de JavaScript.
TL;DR
Si su sitio web utiliza http://polyfill.io/, elimínelo INMEDIATAMENTE.
¿A quién afecta este ataque a la cadena de suministro?
El cdn.polyfill.io el dominio ha sido secuestrado para servir scripts maliciosos. Esto significa que cualquier sitio que dependa de este dominio para polyfills —un método para añadir nuevas funcionalidades a navegadores antiguos, como funciones modernas de JavaScript— está en riesgo. Investigadores de seguridad en Sansec fueron los primeros en identificar las numerosas instancias de cargas útiles de malware, que incluían la redirección de usuarios móviles a un sitio de apuestas deportivas,
Este ataque a la cadena de suministro puede comprometer los datos de tus usuarios y la integridad de tus aplicaciones, e incluso incluye protección integrada contra la ingeniería inversa y otros trucos ingeniosos para evitar que observes cómo afecta a tus usuarios finales.
El Equipo de Investigación de Aikido añade continuamente nuevos avisos para dependencias que utilizan pollyfill[.]io internamente, lo que dejaría sus aplicaciones vulnerables al ataque a la cadena de suministro. Algunas dependencias destacadas incluyen:
- albertcht/invisible-recaptcha (Más de 1 millón de instalaciones)
- psgganesh/anchor
- polyfill-io-loader
Desde que se publicaron los detalles sobre el ataque, Namecheap puso el nombre de dominio en espera, impidiendo cualquier solicitud al malware polyfill. Aunque eso evita la propagación del malware a corto plazo, aún debes proceder con una remediación adecuada.
¿Cómo puedes solucionar esta vulnerabilidad?
Escanea tu código ahora. La función SAST de Aikido escanea tu base de código en busca de cualquier instancia de cdn.polyfill.io.
Crea una cuenta de Aikido para escanear tu código
Cualquier hallazgo relacionado con este ataque a la cadena de suministro de Polyfill saltará a la parte superior, ya que tienen una puntuación crítica de 100. Asegúrate de eliminar todas las instancias detectadas de polyfills inmediatamente para protegerte a ti y a los usuarios de este ataque crítico a la cadena de suministro.
La buena noticia es que, según el autor original, es probable que puedas eliminar cdn.polyfill.io, o cualquiera de los paquetes de dependencia afectados, sin afectar la experiencia del usuario final de tu aplicación.
Hoy en día, ningún sitio web requiere ninguno de los polyfills de la librería http://polyfill.io. La mayoría de las características añadidas a la plataforma web son rápidamente adoptadas por todos los navegadores principales, con algunas excepciones que generalmente no pueden ser 'polyfilladas' de todos modos, como Web Serial y Web Bluetooth.
Si necesitas capacidades de Polyfill, puedes recurrir a alternativas recientemente implementadas de Fastly o Cloudflare.
Protege tu software ahora.
.jpg)
.avif)
