Napad na lanac snabdevanja usmeren na široko korišćenu Polyfill[.]io JavaScript biblioteku je šireg obima nego što se ranije mislilo, sa novim nalazima Censys-a koji pokazuju da preko 380.000 hostova ugrađuje polyfill skriptu koja se povezuje sa zlonamjernim domenom od 2. jula 2024. godine.
Ovo uključuje reference na “https://cdn.polyfill[.]io” ili “https://cdn.polyfill[.]com” u njihovim HTTP odgovorima, saopštila je firma za upravljanje površinama napada.
“Otprilike 237.700 se nalazi unutar Hetzner mreže (AS24940), prvenstveno u Njemačkoj”, napominje se. “Ovo nije iznenađujuće – Hetzner je popularna web hosting usluga i mnogi programeri web stranica je koriste.”
Daljnja analiza pogođenih hostova otkrila je domene povezane s istaknutim kompanijama kao što su WarnerBros, Hulu, Mercedes-Benz i Pearson koji se pozivaju na zlonamjernu krajnju tačku o kojoj je riječ.
Detalji napada pojavili su se krajem juna 2024. godine kada je Sansec upozorio da je kod koji se nalazi na domeni Polyfill modificiran kako bi korisnike preusmjerio na web stranice s temom za odrasle i kockanje. Promjene koda su napravljene tako da su se preusmjeravanja odvijala samo u određeno doba dana i to samo prema posjetiocima koji su ispunili određene kriterije.
Rečeno je da je zločesto ponašanje uvedeno nakon što su domen i povezano GitHub spremište prodati kineskoj kompaniji pod nazivom Funnull u februaru 2024.
Razvoj je od tada podstakao registrara domena Namecheap da suspenduje domen, mreže za isporuku sadržaja kao što je Cloudflare da automatski zamijene Polyfill linkove domenama koje vode do alternativnih sigurnih zrcalnih web lokacija, a Google blokira oglase za web lokacije koje ugrađuju domenu.
Dok su operateri pokušali da ponovo pokrenu uslugu pod drugim domenom polyfill[.]com, nju je takođe ukinuo Namecheap od 28. juna 2024. Od dva druga domena koja su oni registrovali od početka jula – polyfill[. ]site i polyfillcache[.]com – ovaj drugi ostaje u funkciji.
Zbog toga, proširena mreža potencijalno povezanih domena, uključujući bootcdn[.]net, bootcss[.]com, staticfile[.]net, staticfile[.]org, unionadjs[.]com, xhsbpza[.]com , union.macoms[.]la, newcrbpc[.]com, otkriveno je da je povezano sa održavaocima Polyfilla, što ukazuje da bi incident mogao biti dio šire zlonamjerne kampanje.
Izvor:The Hacker News
