bencede
New member
Polyfill.io JavaScript Hizmeti: 100.000 site CDN yoluyla kötü amaçlı kod yerleştiriyor
Son günlerde içerik dağıtım ağı (CDN) cdn.polyfill.io'yu kullanan web sitelerine bir tedarik zinciri saldırısı düzenlendi. Polyfill'ler web'de içeriğin mevcut özellikleri desteklemeyen eski tarayıcılarda çalıştırılmasına izin vermek için kullanılır.
Duyuru
Polyfills, desteklenmeyen API'leri eşleştirerek uygulamanızın tarayıcıda mümkün olduğunca sorunsuz çalışmasını sağlar. Polyfill.io projesinin amacı, her tarayıcı için gerekli çoklu doldurmaları sağlayarak entegrasyonu basitleştirmektir.
Geçtiğimiz birkaç gün içinde birçok güvenlik araştırmacısı, Polyfill.io aracılığıyla kötü amaçlı kod dağıtıldığını bildirdi. Görünüşe göre dünya çapında 100.000'den fazla site etkileniyor.
Şimdi harekete geçin!
Web uygulamasında polyfill.io alanına bağımlılığı olan herkes bunları derhal kaldırmalıdır. Açık kaynak projesinin kendisi etkilenmez, yalnızca Polyfill.io sitesi etkilenir.
Hem Fastly hem de Cloudflare, Şubat ayından bu yana Polyfill.io CDN'ye alternatifler sunuyor. Almanca olarak da mevcut olan GitHub projesindeki Readme dosyası, alan seçimi konusunda çelişkili: Projenin CDN için resmi olarak Cloudflare kullandığını duyuruyor, ancak aynı zamanda Polyfill.io web sitesindeki belgelere de atıfta bulunuyor.
Şubat tırmanışı sonrası uyarılar
Şubat ayında Çinli Funnull şirketi, başlangıçta Financial Times tarafından desteklenen Polyfill.io sitesini satın aldı. Fastly'de çalışan Polyfill proje operatörü Andrew Betts, X'i (eski adıyla Twitter) polyfill.io'ya olan bağımlılıkları derhal kaldırmaya çağırdı.
O dönemde ilgili GitHub projesinin bir sayısında bir tartışma vardı; o zamandan beri silinmiş ancak Wayback Machine web.archive.org'da hala görüntülenebiliyor.
Şubat ayı sonlarında Cloudflare, şirket blogunda yazılım tedarik zinciri riskleri konusunda uyarıda bulundu ve alternatif bir CDN uç noktası oluşturdu. Ayrıca potansiyel tehdide anında yanıt verdi.
Sorunu ele alan Polykill.io sitesi de aynı dönemde oluşturuldu ancak mevcut kötü amaçlı kod raporlarını henüz ele almadı.
Kötü amaçlı kod bulundu
Bu arada, JavaScript güvenlik sağlayıcısı c/side'ın blogu, cdn.polyfill.io'nun aktif olarak kötü amaçlı kod dağıttığını bildiriyor. İçerik görünüşe göre HTTP başlıklarına bağlı olduğundan yalnızca belirli mobil cihazlarda etkin hale gelir. Blog gönderisine göre, kod yalnızca gizlenmekle kalmıyor, aynı zamanda yavaş yürütmeye ve tespit edilmeden kalmak için diğer tekniklere de dayanıyor.
Hem c/side hem de Sansec, Polyfill.io CDN aracılığıyla dağıtılan kodda bir spor bahis sitesine yönlendirme buldu.
(Resim: c/yan)
Güvenlik tarayıcısı satıcısı Sansec ayrıca blogunda Polyfill tedarik zinciri saldırısı hakkında uyarıda bulunuyor. Sansec'e göre Google, Polyfill.io'yu entegre eden sitelerdeki Google reklamlarını zaten engelliyor. Gönderide ayrıca sahte bir Google Analytics alanı kullanan ve mobil kullanıcıları bir spor bahisleri web sitesine yönlendiren kaynak kodunun bazı bölümleri de gösteriliyor.
(kendim)