Les propriétaires de Polyfill.io avoir relancé le service CDN JavaScript sur un nouveau domaine après polyfill.io a été fermé car les chercheurs ont révélé qu’il fournissait du code malveillant sur plus de 100 000 sites Web.

Le service Polyfill affirme qu’il a été « diffamé de manière malveillante » et a fait l’objet de « messages médiatiques calomniant Polyfill. »

Polyfill: « Quelqu’un nous a malicieusement diffamés »
Les Polyfill.io le domaine semble avoir été fermé à partir d’aujourd’hui par son registraire Namecheap.

Les propriétaires du service ont cependant relancé le service sur un nouveau domaine et affirment qu’il n’y a « aucun risque pour la chaîne d’approvisionnement. »

Dans une série de messages sur X (anciennement Twitter), la douteuse société CDN s’est prononcée contre les allégations selon lesquelles elle serait impliquée dans une attaque à grande échelle de la chaîne d’approvisionnement:

« Nous avons trouvé des messages médiatiques calomniant Polyfill. Nous voulons expliquer que tous nos services sont mis en cache dans Cloudflare et qu’il n’y a aucun risque pour la chaîne d’approvisionnement », écrit Polyfill.

Le service affirme en outre qu’il a été « diffamé » et a rejeté l’existence d’un risque lié à l’utilisation de son CDN:

Les fournisseurs de services ont relancé le service sur polyfill. com—également enregistré auprès de Namecheap et entièrement fonctionnel au moment du test par Breachtrace.

Ne faites confiance à aucun polyfill pour l’instant
Malgré les nobles affirmations de Polyfill d’être sûr à utiliser, cependant, les faits et les conclusions des praticiens de la sécurité prouvent le contraire.

Polyfill retourne sur un nouveau domaine

Le projet open source original, Polyfill a été publié pour les développeurs JavaScript afin d’ajouter des fonctionnalités modernes aux anciens navigateurs qui ne prennent généralement pas en charge de telles fonctionnalités. Mais, son créateur, Andrew Betts n’a jamais possédé et n’a eu aucune association avec le polyfill.io domaine qui a fourni le code de Polyfills via un CDN

En février, une entité chinoise nommée « Funnull » a acheté polyfill.io et introduit du code malveillant dans les scripts livrés par son CDN.

Des chercheurs de Swansea ont récemment identifié que l’attaque de la chaîne d’approvisionnement résultant de Polyfill.is les scripts modifiés avaient touché plus de 100 000 sites Web. Le domaine injecterait des logiciels malveillants sur les appareils mobiles visitant des sites Web intégrant du code directement à partir du cdn.polyfill[.] je.

Hier, la société de sécurité cloud, Cloudflare, a également sourcillé sur Polyfill.io l’utilisation non autorisée du nom et du logo Cloudflare. Il a déclaré que Polyfill.is le fait de ne pas supprimer la « fausse déclaration » de leur site Web malgré le fait qu’ils aient été contactés par Cloudflare était « un autre signe d’avertissement qu’on ne peut pas leur faire confiance. »

Polyfill.io portant le message « Protection de sécurité Cloudflare » qui pourrait être mal interprété

Cloudflare a en outre corroboré les affirmations de Sansec selon lesquelles le code fourni par Polyfill.io le CDN redirigeait en fait les utilisateurs vers des sites de paris sportifs et le faisait en utilisant un nom de domaine typosquatté (google-anaiytics[.] com) qui était une erreur d’orthographe intentionnelle de celle de Google Analytics.

Matthew Prince, cofondateur et PDG de Cloudflare, a également révélé que 4% d’Internet, soit des dizaines de millions de sites Web utilisés polyfill.io et a qualifié les conséquences de l’attaque « d’extrêmement préoccupantes. »

De plus, Google a commencé à informer les annonceurs de cette attaque de la chaîne d’approvisionnement, les avertissant que leurs pages de destination comprenaient du code malveillant et pouvaient rediriger les visiteurs hors du site prévu à l’insu ou sans l’autorisation du propriétaire du site Web.

Lettre de Google aux annonceurs concernant l’attaque de la chaîne d’approvisionnement

« Le code à l’origine de ces redirections semble provenir de quelques fournisseurs de ressources Web tiers différents, notamment Polyfill.io, Bootcss.com, Bootcdn.net, ou Staticfile.org, » lit l’e-mail de Google.

« Des rapports similaires peuvent être trouvés en recherchant « polyfill.io » sur Google (https://www.google.com/search?q=polyfill.io).

Simon Wijckmans, fondateur du service de sécurité Web c / side, a également déconseillé d’utiliser le Polyfill.io CDN, déclarant que même si le projet open source Polyfill était lui-même « solide » et pouvait être auto-hébergé par n’importe qui dans un environnement contrôlé, « le problème réside dans le domaine cdn.polyfill.io qui devrait immédiatement être retiré de vos sites. »

En tant que tels, les sites Web et les développeurs doivent s’abstenir d’utiliser l’un ou l’autre polyfill.io ou polyfill.com, et envisagez de remplacer l’utilisation existante du service par des alternatives sûres mises en place par Cloudflare et rapidement.

Mise à jour, 27 juin, 14h45 HE: Ajout d’une copie de l’e-mail de Google aux annonceurs et d’une référence à l’article de blog c/side.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *