深刻なエクスプロイトが標的として登場しました cdn.polyfill.io、人気のドメインです ポリフィルこのサプライチェーン攻撃により、11万以上のウェブサイトが侵害され、JavaScriptアセットにマルウェアが埋め込まれました。
要約
あなたのウェブサイトがhttp://polyfill.io/を使用している場合、直ちに削除してください。
このサプライチェーン攻撃は誰に影響を与えますか?
会社情報 cdn.polyfill.io ドメインがハイジャックされ、悪意のあるスクリプトが提供されています。これは、polyfill(最新のJavaScript関数など、古いブラウザに新しい機能を追加する方法)のためにこのドメインに依存しているすべてのサイトが危険にさらされていることを意味します。 Sansecのセキュリティ研究者 マルウェアペイロードの多くのインスタンスを最初に特定しました。これには、モバイルユーザーをスポーツ賭博サイトにリダイレクトすることも含まれていました。
このサプライチェーン攻撃は、ユーザーのデータやアプリケーションの整合性を侵害する可能性があり、さらにリバースエンジニアリングや、エンドユーザーへの影響を観測できないようにする巧妙な手口に対する組み込みの保護も含まれています。
Aikidoのリサーチチームは、内部でpollyfill[.]ioを使用する依存関係に対して、新しいアドバイザリを継続的に追加しており、これによりアプリケーションがサプライチェーン攻撃に対して脆弱になる可能性があります。特に注目すべき依存関係は以下の通りです。
- albertcht/invisible-recaptcha (100万以上のインストール)
- psgganesh/anchor
- polyfill-io-loader
攻撃の詳細が公に公開されたため、Namecheapはドメイン名を保留にし、polyfillマルウェアへのリクエストを阻止しました。これは短期的なマルウェアの拡散を防ぎますが、適切な修復作業は引き続き実施すべきです。
この脆弱性をどのように修正できますか?
今すぐコードをスキャンしてください。 AikidoのSAST機能は、コードベースをスキャンし、あらゆるインスタンスを検出します。 cdn.polyfill.io.
コードスキャンを利用するためにAikidoアカウントを作成してください。
このPolyfillサプライチェーン攻撃に関する発見事項は、重大度100のスコアが付与されているため、最上位に表示されます。この重大なサプライチェーン攻撃から自身とユーザーを保護するため、検出されたすべてのpolyfillインスタンスを直ちに削除してください。
良いニュースは、原著者によると、おそらく削除できるということです。 cdn.polyfill.io、または影響を受ける依存関係パッケージのいずれかを、アプリケーションのエンドユーザーエクスペリエンスに影響を与えることなく。
今日のウェブサイトは、http://polyfill.ioライブラリ内のポリフィルを必要としません。ウェブプラットフォームに追加されるほとんどの機能は、Web SerialやWeb Bluetoothのように、一般的にポリフィルできない一部の例外を除き、すべての主要ブラウザに迅速に採用されています。
Polyfill機能が必要な場合は、FastlyまたはCloudflareから最近展開された代替手段を利用できます。
