Новости Цифровая Троя: как Китай превратил Polyfill.io в инструмент массового взлома

NewsMaker

I'm just a script
Премиум
14,593
22
8 Ноя 2022
Покупка домена привела к атаке на цепочку поставок, затронувшей более 100 000 сайтов.


u4gvq1kuxnugg0kyvbdklpjxo76p5zno.jpg


Более 100 000 сайтов подверглись массовой атаке на цепочку поставок со стороны сервиса Polyfill.io после того, как китайская компания Funnull приобрела домен, а скрипт сервиса был изменен для перенаправления пользователей на вредоносные и мошеннические сайты.

Для просмотра ссылки Войди или Зарегистрируйся — это фрагмент кода (обычно JavaScript ), добавляющий современную функциональность старым браузерам, которые не поддерживают его изначально. Например, Polyfill добавляет функции JavaScript, недоступные в старых браузерах, но присутствующие в современных.

Сервис polyfill.io используется Для просмотра ссылки Войди или Зарегистрируйся чтобы позволить всем посетителям использовать одну и ту же кодовую базу, даже если их браузеры не поддерживают те же современные функции, что и более новые.

Как Для просмотра ссылки Войди или Зарегистрируйся ИБ-компания Sansec, в феврале китайская компания Funnull купила домен и учетную запись Polyfill на Github . С тех пор домен был пойман на внедрении вредоносного ПО на мобильные устройства через любой сайт, встраивающий cdn.polyfill.io.

Специалисты Sansec обнаружили, что модифицированный скрипт используется для перенаправления на фиктивный сайт букмекерской конторы и другие мошеннические страницы. Это делается через поддельный домен Google Analytics (www[.]googie-anaiytics[.]com) или редиректы, такие как kuurza.com/redirect?from=bitget.

Отличительной чертой вредоносного кода является его способность уклоняться от анализа: он активируется только на определенных мобильных устройствах в строго определенное время и отключается при обнаружении в системе администратора или службы веб-аналитики.

В ответ на возрастающую угрозу, сервисы Для просмотра ссылки Войди или Зарегистрируйся и Для просмотра ссылки Войди или Зарегистрируйся создали собственные зеркала Polyfill.io, чтобы обеспечить безопасное использование скриптов на затронутых сайтах. Кроме того, при продаже Polyfill.io разработчик проекта Для просмотра ссылки Войди или Зарегистрируйся что он никогда не владел сайтом Polyfill.io и что все веб-сайты должны немедленно удалить его.


gshaemo9cpn2vaneao28in309jkxs6qi.png


Пост разработчика Polyfill.io

Google также вступила в борьбу с угрозой, предупредив рекламодателей о риске нежелательных перенаправлений с их лендинг-страниц. Отмечается, что Bootcss, Bootcdn и Staticfile также вызывают нежелательные перенаправления, потенциально добавляя тысячи, если не сотни тысяч сайтов, пострадавших от атак в цепочке поставок. Если Google обнаружит такие редиректы во время регулярных проверок рекламных мест, соответствующая реклама будет отклонена.
 
Источник новости
www.securitylab.ru

Похожие темы