Polyfill供应链攻击事件曝光已经过去一周,但仍然有超过38万个网站链接到(已被关停的)Polyfill.io恶意网站,其中不乏财富500强和政府网站。
2024年6月25日,Sansec安全研究团队披露了一起严重的网络安全事件:知名的Polyfill开源库的CDN分发站点polyfill.io(以及GitHub账户)自今年2月卖给了一家中国企业之后,开始嵌入恶意程序,以将访问使用其服务的网站用户重新引跳转至体育赌博或其他恶意网站。Sansec估计,超过10万个网站受到了这次攻击的影响,包括很多知名上市公司。
Polyfill函数库的功能是在旧版浏览器中补充或模拟现代浏览器所支持的功能,当旧版浏览器用户所访问的网站具备现代化浏览器所支持的新功能时,网站即可导入该函数库来实现相同的功能。
Sansec的报告发布两天后,业界纷纷采取措施缓解Polyfill.io的风险:域名注册商 Namecheap暂停了域名(Polyfill.io),此举有效地阻止了恶意代码在访客设备上运行。随后,Cloudflare等CDN服务商也开始自动将polyfill.io的链接替换为安全镜像站点的域名。谷歌则屏蔽了嵌入Polyfill.io域名的网站广告。网站拦截器uBlock Origin将该域名添加到其过滤列表中。Polyfill.io的原始创建者 Andrew Betts也敦促网站所有者立即删除指向该库的链接。
Sansec建议不再需要Polyfill函数库的网站应该立刻移除polyfill.io,或是改用由Fastly或Cloudflare所提供的Polyfill方案。
虽然业界集体行动暂时缓解了polyfill供应链攻击威胁,但是,据安全公司Censys的最新报告,截至本周二,仍然有超过38万个网站链接到(已被关停的)Polyfill.io恶意网站。其中一些网站与亚马逊、Hulu、梅赛德斯-奔驰、华纳兄弟等国际知名企业和政府机构有关,包括:
华纳兄弟(www.warnerbros.com)
Hulu(www.hulu.com)
梅赛德斯-奔驰(shop.mercedes-benz.com)
培生(digital-library-qa.pearson.com、digital-library-stg.pearson.com)
ns-static-assets.s3.amazonaws.com
amazonaws.com是仍链接到polyfill站点的网站中最常用的域名,这表明亚马逊S3静态网站托管的用户广泛使用polyfill恶意域名。
Censys还发现182个以.gov结尾的域名,可能属于政府实体。其中一个域名 feedthefuture[.]gov隶属于美国联邦政府。
上述调查结果再次证明了软件供应链攻击的巨大杀伤半径,同时也意味着危险并未真正解除,因为polyfill恶意网站域名一旦“复活”或者被跳转到其他恶意站点,这个定时炸弹随时有可能再次被引爆。
值得警惕的是,Censys扫描互联网还发现,有超过160万个网站链接到一个或多个由拥有polyfill.io的同一公司实体注册的域名。至少有一个网站bootcss[.]com在2023年6月被发现执行了与polyfill类似的恶意操作。该域名以及其他三个域名(bootcdn[.]net、staticfile[.]net和staticfile[.]org)还被发现泄露了用户用于访问Cloudflare提供的编程接口的身份验证密钥。
参考链接:
https://sansec.io/research/polyfill-supply-chain-attack
【查看完整讨论话题】 | 【用户登录】 | 【用户注册】