Οι ιδιοκτήτες του
Polyfill.io
κυκλοφόρησαν ξανά την υπηρεσία JavaScript
CDN
σε έναν νέο τομέα μετά τον τερματισμό του polyfill.io καθώς οι ερευνητές αποκάλυψαν ότι παρέδιδε κακόβουλο κώδικα σε πάνω από 100.000 ιστότοπους.
Η υπηρεσία Polyfill ισχυρίζεται ότι έχει «δυσφημιστεί κακόβουλα» και ότι έχει υποβληθεί σε «μηνύματα πολυμέσων που συκοφαντούν το Polyfill».
Polyfill: “Κάποιος μας έχει δυσφημήσει κακόβουλα”
Ο τομέας Polyfill.io φαίνεται να έχει κλείσει από σήμερα από τον καταχωρητή του Namecheap.
Οι ιδιοκτήτες υπηρεσιών, ωστόσο, επανεκκίνησαν την υπηρεσία σε νέο τομέα και ισχυρίζονται ότι “δεν υπάρχουν κίνδυνοι στην αλυσίδα εφοδιασμού”.
Σε μια σειρά αναρτήσεων στο X (πρώην Twitter), η αμφίβολη εταιρεία CDN έχει μιλήσει εναντίον των ισχυρισμών ότι εμπλέκεται σε επίθεση μεγάλης κλίμακας στην αλυσίδα εφοδιασμού:
“Βρήκαμε μηνύματα μέσων που συκοφαντούν το Polyfill. Θέλουμε να εξηγήσουμε ότι όλες οι υπηρεσίες μας είναι αποθηκευμένες στην κρυφή μνήμη στο
Cloudflare
και δεν υπάρχει κίνδυνος αλυσίδας εφοδιασμού.”
γράφει
Polyfill.
Η υπηρεσία ισχυρίζεται περαιτέρω ότι έχει «δυσφημηθεί» και απορρίφθηκε ότι υπάρχει κίνδυνος από τη χρήση του CDN της:
Κάποιος μας δυσφήμησε κακόβουλα. Δεν έχουμε κινδύνους στην αλυσίδα εφοδιασμού, επειδή όλο το περιεχόμενο αποθηκεύεται στατικά στην κρυφή μνήμη. Οποιαδήποτε εμπλοκή τρίτων θα μπορούσε να δημιουργήσει πιθανούς κινδύνους στον ιστότοπό σας,
αλλά κανείς δεν θα το έκανε αυτό, καθώς θα έθετε σε κίνδυνο τη δική μας φήμη.Εχουμε ήδη…
— Polyfill (@Polyfill_Global)
26 Ιουνίου 2024
Οι πάροχοι υπηρεσιών έχουν επανεκκινήσει την υπηρεσία στις
polyfill.com
—επίσης εγγεγραμμένο στο Namecheap και πλήρως λειτουργικό τη στιγμή της δοκιμής από το BleepingComputer.
Εμπιστευτείτε κανένα πολυγέμισμα ακόμα
Ωστόσο, παρά τους ισχυρούς ισχυρισμούς της Polyfill ότι είναι ασφαλής για χρήση, τα γεγονότα και τα ευρήματα που έγιναν από επαγγελματίες ασφαλείας αποδεικνύουν το αντίθετο.
Το Polyfill επιστρέφει σε νέο τομέα
(Feross Aboukhadijeh μέσω X)
ο
πρωτότυπο έργο ανοιχτού κώδικα, Polyfill
κυκλοφόρησε για προγραμματιστές JavaScript για να προσθέσουν σύγχρονες λειτουργίες σε παλαιότερα
προγράμματα περιήγησης
που συνήθως δεν υποστηρίζουν τέτοιες δυνατότητες. Όμως, ο δημιουργός του, ο Andrew Betts δεν κατείχε ποτέ και δεν είχε καμία σχέση με αυτόν
τον τομέα polyfill.io που παρείχε τον κώδικα του Polyfill μέσω ενός CDN:
Τον Φεβρουάριο, μια κινεζική οντότητα με το όνομα «Funnull» αγόρασε το polyfill.io και εισήγαγε κακόβουλο κώδικα σε σενάρια που παραδίδονται από το CDN της.
Οι ερευνητές της Sansec αναγνώρισαν πρόσφατα
ότι η επίθεση στην αλυσίδα εφοδιασμού που προέκυψε από τα τροποποιημένα σενάρια του Polyfill.io είχε χτυπήσει περισσότερους από 100.000 ιστότοπους. Ο τομέας θα εισάγει κακόβουλο λογισμικό σε κινητές συσκευές που επισκέπτονται ιστότοπους που ενσωματώνουν κώδικα απευθείας από το cdn.polyfill[.]io.
Χθες, η εταιρεία ασφάλειας cloud, Cloudflare, ανέδειξε επίσης τη μη εξουσιοδοτημένη χρήση του ονόματος και του λογότυπου του Cloudflare από το Polyfill.io. Δήλωσε ότι η αποτυχία του Polyfill.io να αφαιρέσει την “ψευδή δήλωση” από τον ιστότοπό του, παρά την επικοινωνία με το Cloudflare ήταν “ακόμα ένα προειδοποιητικό σημάδι ότι δεν μπορεί να είναι αξιόπιστο”.
Το Polyfill.io φέρει το
μήνυμα
“Cloudflare Security Protection” που θα μπορούσε να παρερμηνευθεί
(BleepingComputer)
Το Cloudflare επιβεβαίωσε περαιτέρω τους ισχυρισμούς της Sansec ότι ο κώδικας που παραδόθηκε από το CDN του Polyfill.io στην πραγματικότητα ανακατευθύνει τους χρήστες σε ιστότοπους αθλητικών στοιχημάτων και το έκανε χρησιμοποιώντας ένα τυπογραφημένο όνομα τομέα (google-anaiytics[.]com) που ήταν σκόπιμη ορθογραφία του Google Analytics.
Ως εκ τούτου, οι ιστότοποι και οι προγραμματιστές θα πρέπει να απέχουν από τη χρήση του polyfill.io ή του polyfill.com και να εξετάσουν το ενδεχόμενο αντικατάστασης της υπάρχουσας χρήσης της υπηρεσίας με ασφαλείς εναλλακτικές λύσεις που έχουν δημιουργηθεί από
Cloudflare
και
Γρήγορα
.
VIA:
bleepingcomputer.com
0