网络安全公司Sansec警告,Polyfill.io域名和服务被一家名为’Funnull’的中国公司收购,并在供应链攻击中修改了脚本,向网站引入恶意代码。Polyfill.js开源库广泛用于为不支持现代功能的旧浏览器添加JavaScript功能,拥有数十万个网站使用者。

https://s3-img.meituan.net/v1/mss_3d027b52ec5a4d589e68050845611e68/ff/n0/0a/kd/2p_196333.jpg@596w_1l.jpg

Funnull公司在今年2月收购了该域名和相关 Github 账号,然后通过 cdn.polyfill.io 向移动设备植入恶意程序。新拥有者还迅速删除了 Github 上的相关讨论。Polyfill 原作者建议移除该脚本,如果必须使用,建议用 CDN 服务商 Fastly 和 Cloudflare 的替代。

Sansec安全研究人员发现,植入的恶意程序使用假的 Google 分析域名 www.googie-anaiytics.com 将移动设备用户重定向到博彩网站。代码针对逆向工程有特定保护代码,而且只在特定时间对特定移动设备激活。检测到管理员后不会激活。当检测到网络分析服务时它会延迟执行。Google已开始通知广告商,警告他们的登陆页面可能包含恶意代码,导致用户被重定向到非预期网站。Google还指出,Bootcss、Bootcdn和Staticfile等第三方网络资源提供商也可能导致类似的重定向问题,进一步扩大了受影响的网站数量。

安全报告原文:https://sansec.io/research/polyfill-supply-chain-attack