Polyfill.io usato per infettare più di 100.000 siti

Facebook
WhatsApp
Twitter
LinkedIn
Telegram


Polyfill.io usato per infettare più di 100.000 siti


Se state usando polyfill.io nel vostro sito web, dovete eliminarlo immediatamente: i ricercatori di c/side hanno scoperto che il dominio cdn.polyfill.io è correntemente vittima di un attacco supply chain. Secondo il team di c/side, i siti web colpiti sarebbero oltre 100.000.

È utilizzato per ospitare un servizio che aggiunge polyfills JavaScript nei siti web, ma ora sta iniettando codice malevolo negli script eseguiti per gli utenti finaliha spiegato Simon Wijckmans, ricercatore della firma di sicurezza. È essenziale controllare se nel codice si fa utilizzo del dominio ed eventualmente rimuoverlo dall’applicazione.

Pixabay

Polyfill è un progetto open-source che permette di utilizzare feature JacaScript moderne anche nei browser più vecchi. Lo scorso febbraio, il dominio polyfill.io è stato acquisito da Funnull, una compagnia cinese. Questa mossa non è stata particolarmente apprezzata dai provider CDN e dai developer, tanto che è nato Polykill, un progetto che mette in guardia gli utenti dalla pericolosità di Polyfill e consiglia i possibili fix da apporre.

Tutto il traffico di polyfill.io ora punta al CDN di Baishan Cloud” si legge sulla homepage del progetto. “Ci sono molti rischi legati a un’entità straniera e sconosciuta che gestite ed esegue JavaScript nelle vostre applicazioni web. Può analizzare il traffico senza farsi notare e, nel caso ci siano intenzioni malevole, può potenzialmente rubare username, password e informazioni di carte di credito in maniera diretta, non appena l’utente li inserisce nel browser“.

E in effetti i ricercatori hanno scoperto che il dominio inietta codice malevolo nei dispositivi tramite i siti web che usano cdn.polyfill.io. Il codice genera payload dinamicamente in base agli header HTTP e si attiva solo su specifici dispositivi. Il codice è offuscato ed è in grado di eludere i controlli di sicurezza.

In alcuni casi, si è visto che gli utenti ricevono dei file JavaScript con un link falso di Google Analytics; il link rimanda gli utenti a diversi siti di scommesse e di contenuti pornografici, ma potenzialmente il codice può anche eseguire attacchi di formjacking e clickjacking.

Il consiglio, lo ribadiamo, è quello di rimuovere il dominio il prima possibile.



Altro in questa categoria






Source link

Visited 1 times, 1 visit(s) today

Continua a leggere

Scorri verso l'alto