Un exploit critique vient d'apparaître, ciblant cdn.polyfill.io, un domaine populaire pour les polyfills. Plus de 110 000 sites web ont été compromis par cette attaque de la chaîne d'approvisionnement, qui intègre des logiciels malveillants dans des fichiers JavaScript.
TL;DR
Si votre site web utilise http://polyfill.io/, supprimez-le IMMÉDIATEMENT.
Qui est concerné par cette attaque de la chaîne d'approvisionnement ?
Le cdn.polyfill.io a été détourné pour diffuser des scripts malveillants. Cela signifie que tout site s'appuyant sur ce domaine pour des polyfills - une méthode permettant d'ajouter de nouvelles fonctionnalités aux anciens navigateurs, comme les fonctions JavaScript modernes - est en danger. Chercheurs en sécurité à Sansec ont été les premiers à identifier les nombreux cas de charges utiles de logiciels malveillants, qui redirigeaient notamment les utilisateurs mobiles vers un site de paris sportifs,
Cette attaque de la chaîne d'approvisionnement peut compromettre les données de vos utilisateurs et l'intégrité de vos applications, et comprend même une protection intégrée contre la rétro-ingénierie et d'autres astuces astucieuses pour vous empêcher d'observer comment elle affecte vos utilisateurs finaux.
L'équipe de recherche d'Aikido ajoute continuellement de nouveaux avis pour les dépendances qui utilisent pollyfill[.]io sous le capot, ce qui rendrait vos applications vulnérables à l'attaque de la chaîne d'approvisionnement. Quelques dépendances notables incluent :
- albertcht/invisible-recaptcha (Plus de 1m d'installations)
- psgganesh/anchor
- polyfill-io-loader
Depuis que les détails de l'attaque ont été rendus publics, Namecheap a mis le nom de domaine en attente, empêchant ainsi toute requête vers le logiciel malveillant polyfill. Bien que cette mesure permette d'éviter la propagation des logiciels malveillants à court terme, il convient de poursuivre la mise en œuvre d'une solution appropriée.
Comment remédier à cette vulnérabilité ?
Scannez votre code maintenant. La fonction SAST d'Aikido analyse votre base de code à la recherche d'instances de cdn.polyfill.io.
Créez un compte Aikido pour que votre code soit scanné
Toutes les découvertes relatives à cette attaque de la chaîne d'approvisionnement par les polyfills seront placées en tête de liste, car elles ont un score critique de 100. Veillez à supprimer immédiatement toutes les instances de polyfills détectées afin de vous prémunir, ainsi que les utilisateurs, contre cette attaque critique de la chaîne d'approvisionnement.
La bonne nouvelle, c'est que selon l'auteur original, vous pouvez probablement supprimer cdn.polyfill.ioou l'un des paquets de dépendances concernés, sans affecter l'expérience de l'utilisateur final de votre application.
Aujourd'hui, aucun site web ne nécessite l'un des polyfills de la bibliothèque http://polyfill.io. La plupart des fonctionnalités ajoutées à la plate-forme web sont rapidement adoptées par les principaux navigateurs, à quelques exceptions près qui ne peuvent généralement pas être remplies, comme Web Serial et Web Bluetooth.
Si vous avez besoin de fonctionnalités Polyfill, vous pouvez utiliser des alternatives récemment déployées par Fastly ou Cloudflare.
.jpg)
.svg)
.jpg)
.jpg)
.jpg)
