Supply chain атака през Polyfill.js засяга над 110 хил. сайта

Една от най-популярните JavaScript polyfill библиотеки е експлоатирана за supply chain атака, засегнала над 110 хил. сайта, сред които и този на Световния икономически форум.

Библиотеката позволява използването на налични в актуалните браузъри функционалности в остарелите им версии, като по този начин намалява времето, необходимо за разработка на по-интерактивни уеб сайтове, съвместими с максимален брой устройства. От февруари 2024 г. тя е собственост на китайска компания.

Особеност на polyfill кода е, че се генерира динамично на база служебна информация, подавана в т.нар. хедъри на всяка HTTP заявка, което затруднява разследването на атаката и пълния ѝ мащаб. Сред засечените зловредни действия за билбиотеката, сервирана през cdn.polyfill.io са инжектиране на фалшиво копие на Google Analytics с домейн googie-anaiytics.com и редиректи към сайт за залагания на различни засегнати сайтове.

Авторът на библиотеката препоръчва тя да не бъде използвана изобщо, предвид, че наличните в нея функционалности вече се поддържат от огромна част от използваните браузъри. Междувременно, Fastly и Cloudflare публикуваха, според тях, стабилни и сигурни версии на библиотеката, ако все пак ви е крайно небохдима.