110.000 sitios afectados por el ataque a la cadena de suministro Polyfill

Un exploit crítico acaba de llegar a la escena, dirigido a cdn.polyfill.ioun dominio popular para polyfills. Más de 110.000 sitios web se han visto comprometidos por este ataque a la cadena de suministro, que incrusta malware en activos JavaScript.

TL;DR

Si su sitio web utiliza http://polyfill.io/, elimínelo INMEDIATAMENTE.

¿A quién afecta este ataque a la cadena de suministro?

En cdn.polyfill.io ha sido secuestrado para servir scripts maliciosos. Esto significa que cualquier sitio que dependa de este dominio para polyfills -un método para añadir nuevas funcionalidades a navegadores antiguos, como funciones modernas de JavaScript- está en peligro. Investigadores de seguridad de Sansec fueron los primeros en identificar los numerosos casos de cargas útiles de malware, que incluían la redirección de usuarios de móviles a un sitio de apuestas deportivas,

Este ataque a la cadena de suministro puede poner en peligro los datos de sus usuarios y la integridad de sus aplicaciones, e incluso incluye protección integrada contra la ingeniería inversa y otros trucos ingeniosos para impedirle observar cómo afecta a sus usuarios finales.

El equipo de investigación de Aikido añade continuamente nuevos avisos de dependencias que utilizan pollyfill[.]io bajo el capó, lo que dejaría sus aplicaciones vulnerables al ataque de la cadena de suministro. Algunas dependencias notables incluyen:

• albertcht/invisible-recaptcha (Más de 1 millón de instalaciones)
• psgganesh/anchor
• polyfill-io-loader

Desde que se hicieron públicos los detalles del ataque, Namecheap puso el nombre de dominio en espera, impidiendo cualquier petición al malware polyfill. Si bien esto previene la propagación del malware a corto plazo, debes continuar con una remediación adecuada.

¿Cómo se puede solucionar esta vulnerabilidad?

Escanee su código ahora. La función SAST de Aikido escanea su código en busca de cualquier instancia de cdn.polyfill.io.

Crear una cuenta Aikido para obtener su código escaneado

Cualquier hallazgo en torno a este ataque a la cadena de suministro Polyfill saltará a la parte superior, ya que tienen una puntuación crítica 100. Asegúrate de eliminar inmediatamente todas las instancias detectadas de polyfills para prevenirte a ti mismo y a los usuarios de este ataque crítico a la cadena de suministro.

La buena noticia es que, según el autor original, es probable que pueda eliminar cdn.polyfill.ioo cualquiera de los paquetes de dependencia afectados, sin afectar a la experiencia del usuario final de su aplicación.

Hoy en día, ningún sitio web necesita ninguno de los polyfills de la biblioteca http://polyfill.io. La mayoría de las funciones añadidas a la plataforma web son adoptadas rápidamente por los principales navegadores, con algunas excepciones que generalmente no pueden ser polyfilled de todos modos, como Web Serial y Web Bluetooth.

Si necesita las funciones de Polyfill, puede recurrir a las alternativas recientemente implementadas de Fastly o Cloudflare.