Un exploit critique vient d'apparaître, ciblant cdn.polyfill.io, un domaine populaire pour polyfills. Plus de 110 000 sites web ont été compromis par cette attaque par la chaîne d'approvisionnement, qui intègre des malwares dans les assets JavaScript.
TL;DR
Si votre site web utilise http://polyfill.io/, supprimez-le IMMÉDIATEMENT.
Qui est affecté par cette attaque de la chaîne d'approvisionnement ?
Le cdn.polyfill.io le domaine a été piraté pour servir des scripts malveillants. Cela signifie que tout site s'appuyant sur ce domaine pour les polyfills—une méthode d'ajout de nouvelles fonctionnalités aux navigateurs plus anciens, comme les fonctions JavaScript modernes—est à risque. Chercheurs en sécurité chez Sansec ont été les premiers à identifier les nombreuses instances de charges utiles de malwares, qui incluaient la redirection des utilisateurs mobiles vers un site de paris sportifs,
Cette attaque de la chaîne d'approvisionnement peut compromettre les données de vos utilisateurs et l'intégrité de vos applications, et inclut même une protection intégrée contre l'ingénierie inverse et d'autres astuces ingénieuses pour vous empêcher d'observer comment elle affecte vos utilisateurs finaux.
L'équipe de recherche d'Aikido ajoute continuellement de nouvelles alertes pour les dépendances qui utilisent pollyfill[.]io en arrière-plan, ce qui rendrait vos applications vulnérables aux attaques de la chaîne d'approvisionnement. Parmi les dépendances notables, on trouve :
- albertcht/invisible-recaptcha (Plus d'1 million d'installations)
- psgganesh/anchor
- polyfill-io-loader
Depuis que les détails de l'attaque ont été rendus publics, Namecheap a mis le nom de domaine en suspens, empêchant toute requête vers le malware polyfill. Bien que cela empêche la propagation du malware à court terme, vous devriez néanmoins procéder à une remédiation appropriée.
Comment pouvez-vous corriger cette vulnérabilité ?
Analysez votre code maintenant. La fonctionnalité SAST d'Aikido scanne votre base de code pour toute instance de cdn.polyfill.io.
Créez un compte Aikido pour faire scanner votre code
Toutes les découvertes concernant cette attaque de la chaîne d'approvisionnement Polyfill remonteront en tête, car elles ont un score critique de 100. Assurez-vous de supprimer immédiatement toutes les instances de polyfills détectées afin de vous protéger, vous et vos utilisateurs, de cette attaque critique de la chaîne d'approvisionnement.
La bonne nouvelle est que, selon l'auteur original, vous pouvez probablement supprimer cdn.polyfill.io, ou l'un des packages de dépendance affectés, sans impacter l'expérience utilisateur finale de votre application.
Aucun site web aujourd'hui ne nécessite les polyfills de la bibliothèque http://polyfill.io. La plupart des fonctionnalités ajoutées à la plateforme web sont rapidement adoptées par tous les navigateurs majeurs, à quelques exceptions près qui ne peuvent généralement pas être polyfillées de toute façon, comme Web Serial et Web Bluetooth.
Si vous avez besoin de capacités Polyfill, vous pouvez utiliser les alternatives récemment déployées par Fastly ou Cloudflare.
Sécurisez votre logiciel dès maintenant.
.jpg)
.avif)
