Plus de 100 000 sites ont été touchés par une attaque de la chaîne d’approvisionnement par le Polyfill.io service après qu’une société chinoise a acquis le domaine et que le script a été modifié pour rediriger les utilisateurs vers des sites malveillants et frauduleux.

Un polyfill est un code, tel que JavaScript, qui ajoute des fonctionnalités modernes aux anciens navigateurs qui ne le prennent généralement pas en charge. Par exemple, il ajoute des fonctions JavaScript qui ne sont pas disponibles pour les anciens navigateurs mais qui sont présentes dans les navigateurs modernes.

Les polyfill.io le service est utilisé par des centaines de milliers de sites pour permettre à tous les visiteurs d’utiliser la même base de code, même si leurs navigateurs ne prennent pas en charge les mêmes fonctionnalités modernes que les plus récents.

Polyfill.io attaque de la chaîne d’approvisionnement
Aujourd’hui, la société de cybersécurité Sansec a averti que le polyfill.io le domaine et le service ont été achetés plus tôt cette année par une société chinoise nommée « Funnull » et le script a été modifié pour introduire du code malveillant sur les sites Web lors d’une attaque de la chaîne d’approvisionnement.

« Cependant, en février de cette année, une société chinoise a acheté le domaine et le compte Github. Depuis lors, ce domaine a été surpris en train d’injecter des logiciels malveillants sur des appareils mobiles via n’importe quel site qui intègre cdn.polyfill.io », explique Sansec.

Lorsque le polyfill.io a été acheté, le développeur du projet a averti qu’il n’avait jamais possédé le polyfill.io site et que tous les sites Web doivent le supprimer immédiatement. Pour réduire le risque d’une attaque potentielle de la chaîne d’approvisionnement, Cloudflare et Fastly configurent leurs propres miroirs de la Polyfill.io service afin que les sites Web puissent utiliser un service de confiance.

« Aucun site Web aujourd’hui ne nécessite l’un des polyfills du http://polyfill.io bibliothèque », a tweeté le développeur original du projet de service Polyfills.

« La plupart des fonctionnalités ajoutées à la plate-forme Web sont rapidement adoptées par tous les principaux navigateurs, à quelques exceptions près qui ne peuvent généralement pas être remplies de toute façon, comme Web Serial et Web Bluetooth. »

Au cours des derniers mois, la prédiction du développeur s’est réalisée, et le polyfill.io le service a été nommé pour polyfill.io.bsclink.cn, que les nouveaux propriétaires maintiennent.

Lorsque les développeurs ont intégré le cdn.polyfill.io scripts sur leurs sites Web, ils ont maintenant extrait le code directement du site de la société chinoise.

Cependant, les développeurs de sites Web ont constaté que les nouveaux propriétaires injectaient du code malveillant qui redirigeait les visiteurs vers des sites indésirables à l’insu du propriétaire du site Web.

Dans un exemple vu par Sansec, le script modifié est principalement utilisé pour rediriger les utilisateurs vers des sites frauduleux, tels qu’un faux site de paris sportifs. Il le fait via un faux domaine Google Analytics (www.googie-anaiytics.com) ou redirige comme kuurza.com/redirect?from=bitget.

Cependant, les chercheurs disent qu’il a été difficile d’analyser complètement le script modifié car il utilise un ciblage très spécifique et résiste à l’ingénierie inverse.

« Le code a une protection spécifique contre l’ingénierie inverse et ne s’active que sur des appareils mobiles spécifiques à des heures précises », a poursuivi Sansec.

« Il ne s’active pas non plus lorsqu’il détecte un utilisateur administrateur. Cela retarde également l’exécution lorsqu’un service d’analyse Web est trouvé, probablement pour ne pas se retrouver dans les statistiques. »

Actuellement, le cdn.polyfill.io le domaine a été mystérieusement redirigé vers le miroir de Cloudflare. Cependant, comme les serveurs DNS du domaine restent inchangés, les propriétaires peuvent facilement le basculer vers leurs propres domaines à tout moment.

Breachtrace a contacté Cloudflare pour savoir s’ils étaient impliqués dans le changement des enregistrements CNAME, mais n’a pas eu de nouvelles.

Google émet un avertissement aux annonceurs
Google a commencé à informer les annonceurs de cette attaque de la chaîne d’approvisionnement, les avertissant que leurs pages de destination incluent le code malveillant et pourraient rediriger les visiteurs hors du site prévu à l’insu ou sans l’autorisation du propriétaire du site Web.

Google avertit également que Bootcss, Bootcdn et Staticfile ont également été trouvés pour provoquer des redirections indésirables, ajoutant potentiellement des milliers, voire des centaines de milliers, de sites touchés par les attaques de la chaîne d’approvisionnement.

« Le code à l’origine de ces redirections semble provenir de quelques fournisseurs de ressources Web tiers différents, notamment Polyfill.io, Bootcss.com, Bootcdn.net, ou Staticfile.org, » lit l’e-mail de Google.

« Des rapports similaires peuvent être trouvés en recherchant « polyfill.io » sur Google (https://www.google.com/search?q=polyfill.io).

Lettre de Google aux annonceurs concernant l’attaque de la chaîne d’approvisionnement

Google avertit que s’ils trouvent ces redirections lors des vérifications régulières des destinations publicitaires, ils désapprouveront la publicité associée.

Mise à jour du 25/06/24: Lorsqu’on lui a demandé de plus amples informations sur ces courriels et l’attaque de la chaîne d’approvisionnement, Google nous a envoyé la déclaration suivante.

« La protection de nos utilisateurs est notre priorité absolue. Nous avons récemment détecté un problème de sécurité pouvant affecter les sites Web utilisant certaines bibliothèques tierces », a déclaré Google à Breachtrace.

« Pour aider les annonceurs potentiellement touchés à sécuriser leurs sites Web, nous avons partagé de manière proactive des informations sur la manière d’atténuer rapidement le problème. »

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *