Eine kritische Sicherheitslücke wurde soeben aufgedeckt und zielt auf cdn.polyfill.ioeine beliebte Domain für Polyfills. Über 110.000 Websites wurden durch diesen Angriff auf die Lieferkette kompromittiert, bei dem Malware in JavaScript-Assets eingebettet wird.
TL;DR
Wenn Ihre Website http://polyfill.io/ verwendet, entfernen Sie sie SOFORT.
Wer ist von diesem Angriff auf die Lieferkette betroffen?
Die cdn.polyfill.io Domain wurde gekapert, um bösartige Skripte auszuliefern. Das bedeutet, dass jede Website, die diese Domain für Polyfills - eine Methode zum Hinzufügen neuer Funktionen zu älteren Browsern, wie z. B. moderne JavaScript-Funktionen - nutzt, gefährdet ist. Sicherheitsforscher bei Sansec waren die ersten, die die vielen Fälle von Malware-Nutzlasten identifizierten, die unter anderem mobile Nutzer auf eine Sportwetten-Website umleiteten,
Dieser Angriff auf die Lieferkette kann die Daten Ihrer Benutzer und die Integrität Ihrer Anwendungen gefährden und enthält sogar einen eingebauten Schutz gegen Reverse Engineering und andere raffinierte Tricks, die verhindern, dass Sie beobachten können, wie sich der Angriff auf Ihre Endbenutzer auswirkt.
Das Aikido-Forschungsteam fügt laufend neue Hinweise auf Abhängigkeiten hinzu, die pollyfill[.]io unter der Haube verwenden, wodurch Ihre Anwendungen anfällig für den Supply-Chain-Angriff werden. Einige bemerkenswerte Abhängigkeiten sind:
- albertcht/invisible-recaptcha (über 1 Mio. Installationen)
- psgganesh/anchor
- polyfill-io-loader
Seitdem Details über den Angriff veröffentlicht wurden, hat Namecheap den Domänennamen auf Eis gelegt, um jegliche Anfragen an die Polyfill-Malware zu verhindern. Dies verhindert zwar kurzfristig die Ausbreitung der Malware, Sie sollten aber dennoch mit einer angemessenen Abhilfemaßnahme fortfahren.
Wie können Sie diese Schwachstelle beheben?
Scannen Sie Ihren Code jetzt. Die SAST-Funktion von Aikido durchsucht Ihre Codebasis nach allen Instanzen von cdn.polyfill.io.
Erstellen Sie ein Aikido-Konto, um Ihren Code zu scannen
Alle Entdeckungen im Zusammenhang mit diesem Polyfill-Angriff auf die Lieferkette werden an die Spitze gestellt, da sie einen kritischen Wert von 100 haben. Stellen Sie sicher, dass Sie alle entdeckten Instanzen von Polyfills sofort entfernen, um sich selbst und die Benutzer vor diesem kritischen Supply-Chain-Angriff zu schützen.
Die gute Nachricht ist, dass Sie nach Angaben des Autors die folgenden Informationen wahrscheinlich entfernen können cdn.polyfill.iooder eines der betroffenen Abhängigkeitspakete, ohne die Benutzerfreundlichkeit Ihrer Anwendung zu beeinträchtigen.
Keine Website benötigt heute eine der Polyfills in der Bibliothek http://polyfill.io. Die meisten der Webplattform hinzugefügten Funktionen werden schnell von allen wichtigen Browsern übernommen, mit einigen Ausnahmen, die im Allgemeinen ohnehin nicht polyfillbar sind, wie Web Serial und Web Bluetooth.
Wenn Sie Polyfill-Funktionen benötigen, können Sie auf kürzlich bereitgestellte Alternativen von Fastly oder Cloudflare zurückgreifen.
.jpg)
.png)
.svg)
.png)
.png)
.png)
.jpg)
.jpg)
.jpg)
.png)