Yaygın olarak kullanılan Polyfill’i hedef alan tedarik zinciri saldırısı[.]io JavaScript kitaplığı, daha önce düşünülenden daha geniş bir kapsama sahiptir. yeni bulgular Censys’ten alınan bir veri, 2 Temmuz 2024 itibarıyla 380.000’den fazla sunucunun kötü amaçlı etki alanına bağlantı veren bir polyfill betiğini yerleştirdiğini gösteriyor.
Bu, “https://cdn.polyfill” referanslarını içerir[.]io” veya “https://cdn.polyfill[.]Saldırı yüzeyi yönetim firması, HTTP yanıtlarında “.com” ifadesini kullandıklarını söyledi.
“Yaklaşık 237.700 tanesi Hetzner ağında (AS24940) bulunuyor, esas olarak Almanya’da,” diye belirtti. “Bu şaşırtıcı değil – Hetzner popüler bir web barındırma hizmetidir ve birçok web sitesi geliştiricisi bundan yararlanır.”
Etkilenen sunuculara ilişkin daha detaylı analizler, söz konusu kötü amaçlı uç noktaya atıfta bulunan WarnerBros, Hulu, Mercedes-Benz ve Pearson gibi tanınmış şirketlere bağlı alan adlarını ortaya çıkardı.
Saldırının detayları, Haziran 2024’ün sonlarında Sansec’in Polyfill etki alanında barındırılan kodun kullanıcıları yetişkin ve kumar temalı web sitelerine yönlendirmek için değiştirildiği uyarısında bulunmasıyla ortaya çıktı. Kod değişiklikleri, yönlendirmelerin yalnızca günün belirli saatlerinde ve yalnızca belirli kriterleri karşılayan ziyaretçilere karşı gerçekleşmesi için yapıldı.
Kötü niyetli davranışın, alan adının ve ilişkili GitHub deposunun Şubat 2024’te Funnull adlı bir Çinli şirkete satılmasının ardından ortaya çıktığı söyleniyor.
Bu gelişme, alan adı kayıt kuruluşu Namecheap’in alan adını askıya almasına, Cloudflare gibi içerik dağıtım ağlarının Polyfill bağlantılarını otomatik olarak alternatif güvenli yansıtma sitelerine yönlendiren alan adlarıyla değiştirmesine ve Google’ın alan adını yerleştiren sitelerin reklamlarını engellemesine neden oldu.
Operatörler hizmeti polyfill adlı farklı bir alan adı altında yeniden başlatmaya çalışırken[.]com, aynı zamanda aşağı çekilmiş Namecheap tarafından 28 Haziran 2024 itibarıyla. diğer iki alan adı Temmuz ayının başından beri onlar tarafından kayıtlı – polyfill[.]site ve polyfillcache[.]com –ikincisi ise hala ayakta ve çalışır durumda.
Üstüne üstlük, daha fazlası geniş ağ bootcdn dahil olmak üzere potansiyel olarak ilişkili alan adları[.]net, önyüklemecss[.]com, statik dosya[.]net, statik dosya[.]org, birlikadjs[.]com, xhsbpza[.]com, birlik.macoms[.]la, yenicrbpc[.]com’un Polyfill’in bakımcılarına bağlı olduğu ortaya çıkarıldı ve bu durum olayın daha geniş kapsamlı kötü amaçlı bir kampanyanın parçası olabileceğini gösteriyor.
“Bu alan adlarından biri, bootcss[.]com’un polyfill’e çok benzeyen kötü amaçlı faaliyetlerde bulunduğu gözlemlendi[.]Censys, “2023 Haziran’ına kadar uzanan kanıtlara sahip bir .io saldırısı” olduğunu belirterek, bu şüpheli alan adlarına bağlantı veren 1,6 milyon genel kullanıma açık ana bilgisayar keşfettiğini sözlerine ekledi.
“Polyfill.io saldırısından sorumlu olan aynı kötü niyetli aktörün gelecekte benzer faaliyetler için bu diğer etki alanlarını da istismar edebileceği olasılığını düşünmek tamamen mantıksız olmaz.”
Gelişme, WordPress güvenlik şirketi Patchstack’in uyarıldı Sahte etki alanına bağlanan düzinelerce meşru eklenti aracılığıyla içerik yönetim sistemini (CMS) çalıştıran sitelere yönelik Polyfill tedarik zinciri saldırısının oluşturduğu kademeli riskler.