Ein kritischer Exploit ist gerade aufgetaucht, der abzielt auf cdn.polyfill.io, eine beliebte Domain für polyfillsÜber 110.000 Websites wurden durch diesen Supply-Chain-Angriff kompromittiert, der Malware in JavaScript-Assets einbettet.
TL;DR
Wenn Ihre Website http://polyfill.io/ verwendet, entfernen Sie es SOFORT.
Wen betrifft dieser Supply-Chain-Angriff?
Der cdn.polyfill.io Domain wurde gekapert, um bösartige Skripte bereitzustellen. Das bedeutet, jede Website, die sich für Polyfills – eine Methode, um älteren Browsern neue Funktionen wie moderne JavaScript-Funktionen hinzuzufügen – auf diese Domain verlässt, ist gefährdet. Sicherheitsforscher bei Sansec waren die Ersten, die die vielen Instanzen von Malware-Payloads identifizierten, die unter anderem die Weiterleitung mobiler Nutzender zu einer Sportwetten-Website umfassten,
Dieser Supply-Chain-Angriff kann die Daten Ihrer Benutzer und die Integrität Ihrer Anwendungen gefährden und beinhaltet sogar einen integrierten Schutz gegen Reverse Engineering und andere clevere Tricks, um zu verhindern, dass Sie beobachten können, wie er Ihre Endbenutzer beeinflusst.
Das Forschungsteam von Aikido fügt kontinuierlich neue Advisories für Abhängigkeiten hinzu, die pollyfill[.]io im Hintergrund verwenden, was Ihre Anwendungen anfällig für Supply-Chain-Angriffe machen würde. Einige bemerkenswerte Abhängigkeiten sind:
- albertcht/invisible-recaptcha (Über 1 Mio. Installationen)
- psgganesh/anchor
- polyfill-io-loader
Seit die Details zum Angriff öffentlich bekannt wurden, hat Namecheap den Domainnamen gesperrt, wodurch Anfragen an die Polyfill-Malware verhindert werden. Obwohl dies die Verbreitung von Malware kurzfristig verhindert, sollten Sie dennoch eine ordnungsgemäße Behebung fortsetzen.
Wie können Sie diese Schwachstelle beheben?
Scannen Sie Ihren Code jetzt. Die SAST-Funktion von Aikido scannt Ihre Codebasis nach Instanzen von cdn.polyfill.io.
Erstellen Sie ein Aikido-Konto, um Ihren Code scannen zu lassen
Alle Funde im Zusammenhang mit diesem Polyfill-Supply-Chain-Angriff werden ganz oben angezeigt, da sie einen kritischen Score von 100 haben. Stellen Sie sicher, dass alle erkannten Instanzen von Polyfills sofort entfernt werden, um sich und Ihre Benutzer vor diesem kritischen Supply-Chain-Angriff zu schützen.
Die gute Nachricht ist, dass Sie laut dem ursprünglichen Autor wahrscheinlich entfernen können cdn.polyfill.io, oder eines der betroffenen Abhängigkeitspakete, ohne die Endbenutzererfahrung Ihrer Anwendung zu beeinträchtigen.
Heutzutage benötigt keine Website mehr Polyfills aus der http://polyfill.io-Bibliothek. Die meisten Funktionen, die der Webplattform hinzugefügt werden, werden schnell von allen gängigen Browsern übernommen, mit einigen Ausnahmen, die ohnehin in der Regel nicht mit Polyfills versehen werden können, wie Web Serial und Web Bluetooth.
Wenn Sie Polyfill-Funktionen benötigen, können Sie auf kürzlich bereitgestellte Alternativen von Fastly oder Cloudflare zurückgreifen.
Sichern Sie Ihre Software jetzt.
.jpg)
.avif)
