El ataque a la cadena de suministro dirigido al ampliamente utilizado Polyfill[.]La biblioteca de JavaScript io tiene un alcance m\u00e1s amplio de lo que se pensaba anteriormente, con Nuevos hallazgos<\/a> de Censys que muestra que m\u00e1s de 380.000 hosts est\u00e1n incorporando un script polyfill que se vincula al dominio malicioso a partir del 2 de julio de 2024.<\/p>\n Esto incluye referencias a “https:\/\/cdn.polyfill[.]io” o “https:\/\/cdn.polyfill[.]com” en sus respuestas HTTP, dijo la empresa de gesti\u00f3n de superficie de ataque.<\/p>\n “Aproximadamente 237.700 est\u00e1n ubicados dentro de la red Hetzner (AS24940), principalmente en Alemania”, se\u00f1al\u00f3. “Esto no es sorprendente: Hetzner es un servicio de alojamiento web popular y muchos desarrolladores de sitios web lo aprovechan”.<\/p>\n Un an\u00e1lisis m\u00e1s detallado de los hosts afectados revel\u00f3 dominios vinculados a empresas importantes como WarnerBros, Hulu, Mercedes-Benz y Pearson que hacen referencia al punto final malicioso en cuesti\u00f3n.<\/p>\n Los detalles del ataque surgieron a fines de junio de 2024, cuando Sansec alert\u00f3 que el c\u00f3digo alojado en el dominio Polyfill hab\u00eda sido modificado para redirigir a los usuarios a sitios web con tem\u00e1tica de juegos de azar y para adultos. Los cambios en el c\u00f3digo se realizaron de tal manera que las redirecciones solo se produc\u00edan en ciertos momentos del d\u00eda y solo contra los visitantes que cumpl\u00edan ciertos criterios.<\/p>\n Se dice que el comportamiento nefasto se introdujo despu\u00e9s de que el dominio y su repositorio GitHub asociado se vendieran a una empresa china llamada Funnull en febrero de 2024.<\/p>\n Desde entonces, el desarrollo ha llevado al registrador de dominios Namecheap a suspender el dominio, a las redes de distribuci\u00f3n de contenido como Cloudflare a reemplazar autom\u00e1ticamente los enlaces de Polyfill con dominios que conducen a sitios espejo alternativos seguros, y a Google a bloquear los anuncios de los sitios que incorporan el dominio.<\/p>\n Mientras los operadores intentaron relanzar el servicio bajo un dominio diferente llamado polyfill[.]com, tambi\u00e9n lo fue derribados<\/a> por Namecheap al 28 de junio de 2024. De los otros dos dominios<\/a> registrado por ellos desde principios de julio \u2013 polyfill[.]sitio y polyfillcache[.]com \u2013este \u00faltimo permanece activo y funcionando.<\/p>\n Adem\u00e1s de eso, un m\u00e1s extensa red<\/a> de dominios potencialmente relacionados, incluido bootcdn[.]red, bootcss[.]com, archivo est\u00e1tico[.]red, archivo est\u00e1tico[.]org, unionadjs[.]con, xhsbpza[.]com, union.macoms[.]la, nuevocrbpc[.]Se ha descubierto que un archivo .com est\u00e1 vinculado a los mantenedores de Polyfill, lo que indica que el incidente podr\u00eda ser parte de una campa\u00f1a maliciosa m\u00e1s amplia.<\/p>\n “Uno de estos dominios, bootcss[.]com, se ha observado que participa en actividades maliciosas que son muy similares a las de polyfill.[.]”Ataque io, con evidencia que se remonta a junio de 2023”, se\u00f1al\u00f3 Censys, y agreg\u00f3 que descubri\u00f3 1,6 millones de hosts p\u00fablicos que se vinculan a estos dominios sospechosos.<\/p>\n “No ser\u00eda del todo descabellado considerar la posibilidad de que el mismo actor malicioso responsable del ataque a polyfill.io pudiera explotar estos otros dominios para actividades similares en el futuro”.<\/p>\n El desarrollo se produce cuando la empresa de seguridad de WordPress Patchstack prevenido<\/a> de los riesgos en cascada que plantea el ataque a la cadena de suministro de Polyfill en sitios que ejecutan el sistema de gesti\u00f3n de contenido (CMS) a trav\u00e9s de docenas de complementos leg\u00edtimos que se vinculan al dominio fraudulento.<\/p>\n <\/p>\n![\"La](\"https:\/\/teknomers.com\/es\/wp-content\/uploads\/2024\/07\/Relleno-de-polietilenoEl-ataque-io-afecta-a-mas-de-380000.png\")
<\/a><\/center><\/div>\n<\/a><\/div>\n<\/a><\/center><\/section>\n