このたび、以下のような重大な悪用が発生した。 cdn.polyfill.ioの人気ドメインである。 ポリフィル.JavaScriptアセットにマルウェアを埋め込むこのサプライチェーン攻撃によって、11万以上のウェブサイトが侵害されている。
TL;DR
ウェブサイトがhttp://polyfill.io/、直ちに削除してください。
このサプライチェーン攻撃は誰に影響を与えるのか?
会社情報 cdn.polyfill.io ドメインが悪意のあるスクリプトを提供するために乗っ取られている。つまり、ポリフィル(モダンなJavaScript関数のように、古いブラウザに新しい機能を追加する方法)をこのドメインに依存しているサイトは危険にさらされていることになる。 Sansecのセキュリティ研究者 は、モバイルユーザーをスポーツ賭博サイトにリダイレクトさせるなどのマルウェアのペイロードの多くの事例を最初に特定した、
このサプライチェーン攻撃は、ユーザーのデータとアプリケーションの完全性を危険にさらす可能性があり、リバースエンジニアリングやその他の巧妙なトリックに対する保護機能まで組み込まれているため、エンドユーザーにどのような影響が及ぶか観察することができません。
Aikidoリサーチチームは、あなたのアプリケーションをサプライチェーン攻撃に対して脆弱にする、pollyfill[.]ioを使用している依存関係について、継続的に新しいアドバイザリを追加しています。注目すべき依存関係には以下のようなものがあります:
- albertcht/invisible-recaptcha(100万以上のインストール)
- psgganesh/アンカー
- ポリフィルイオローダ
この攻撃に関する詳細が公開されて以来、Namecheapはドメイン名を保留にし、ポリフィル・マルウェアへのリクエストを防止している。短期的にはマルウェアの拡散を防ぐことができますが、それでも適切な修復を続ける必要があります。
どうすればこの脆弱性を修正できるのか?
今すぐコードをスキャンしてください。 AikidoSAST機能は、あなたのコードベースにある cdn.polyfill.io.
このポリフィル・サプライチェーン攻撃に関する発見事項は、クリティカルスコアが100点であるため、上位に表示されます。この重大なサプライチェーン攻撃から自分自身とユーザーを守るために、検出されたすべてのポリフィルを直ちに削除してください。
原著者によれば、次のような良いニュースがある。 cdn.polyfill.ioあるいは、影響を受ける依存パッケージのどれであっても、アプリケーションのエンドユーザー・エクスペリエンスに影響を与えることはありません。
今日、http://polyfill.ioライブラリのポリフィルを必要とするウェブサイトはありません。ウェブ・プラットフォームに追加されたほとんどの機能は、ウェブ・シリアルやウェブ・ブルートゥースのような、一般的にポリフィルできないいくつかの例外を除いて、すべての主要なブラウザにすぐに採用されます。
Polyfillの機能が必要な場合は、Fastlyや Cloudflareの最近導入された代替機能を利用することができます。
.jpg)
.svg)
.jpg)
.jpg)
.jpg)
