El ataque a la cadena de suministro dirigido al ampliamente utilizado Polyfill[.]La biblioteca de JavaScript io tiene un alcance más amplio de lo que se pensaba anteriormente, con Nuevos hallazgos de Censys que muestra que más de 380.000 hosts están incorporando un script polyfill que se vincula al dominio malicioso a partir del 2 de julio de 2024.
Esto incluye referencias a “https://cdn.polyfill[.]io” o “https://cdn.polyfill[.]com” en sus respuestas HTTP, dijo la empresa de gestión de superficie de ataque.
“Aproximadamente 237.700 están ubicados dentro de la red Hetzner (AS24940), principalmente en Alemania”, señaló. “Esto no es sorprendente: Hetzner es un servicio de alojamiento web popular y muchos desarrolladores de sitios web lo aprovechan”.
Un análisis más detallado de los hosts afectados reveló dominios vinculados a empresas importantes como WarnerBros, Hulu, Mercedes-Benz y Pearson que hacen referencia al punto final malicioso en cuestión.
Los detalles del ataque surgieron a fines de junio de 2024, cuando Sansec alertó que el código alojado en el dominio Polyfill había sido modificado para redirigir a los usuarios a sitios web con temática de juegos de azar y para adultos. Los cambios en el código se realizaron de tal manera que las redirecciones solo se producían en ciertos momentos del día y solo contra los visitantes que cumplían ciertos criterios.
Se dice que el comportamiento nefasto se introdujo después de que el dominio y su repositorio GitHub asociado se vendieran a una empresa china llamada Funnull en febrero de 2024.
Desde entonces, el desarrollo ha llevado al registrador de dominios Namecheap a suspender el dominio, a las redes de distribución de contenido como Cloudflare a reemplazar automáticamente los enlaces de Polyfill con dominios que conducen a sitios espejo alternativos seguros, y a Google a bloquear los anuncios de los sitios que incorporan el dominio.
Mientras los operadores intentaron relanzar el servicio bajo un dominio diferente llamado polyfill[.]com, también lo fue derribados por Namecheap al 28 de junio de 2024. De los otros dos dominios registrado por ellos desde principios de julio – polyfill[.]sitio y polyfillcache[.]com –este último permanece activo y funcionando.
Además de eso, un más extensa red de dominios potencialmente relacionados, incluido bootcdn[.]red, bootcss[.]com, archivo estático[.]red, archivo estático[.]org, unionadjs[.]con, xhsbpza[.]com, union.macoms[.]la, nuevocrbpc[.]Se ha descubierto que un archivo .com está vinculado a los mantenedores de Polyfill, lo que indica que el incidente podría ser parte de una campaña maliciosa más amplia.
“Uno de estos dominios, bootcss[.]com, se ha observado que participa en actividades maliciosas que son muy similares a las de polyfill.[.]”Ataque io, con evidencia que se remonta a junio de 2023”, señaló Censys, y agregó que descubrió 1,6 millones de hosts públicos que se vinculan a estos dominios sospechosos.
“No sería del todo descabellado considerar la posibilidad de que el mismo actor malicioso responsable del ataque a polyfill.io pudiera explotar estos otros dominios para actividades similares en el futuro”.
El desarrollo se produce cuando la empresa de seguridad de WordPress Patchstack prevenido de los riesgos en cascada que plantea el ataque a la cadena de suministro de Polyfill en sitios que ejecutan el sistema de gestión de contenido (CMS) a través de docenas de complementos legítimos que se vinculan al dominio fraudulento.