Според изследователи повече от 384 000 уебсайта се свързват със сайт, който миналата седмица беше хванат да извършва атака по веригата за доставки, която пренасочва посетителите към злонамерени сайтове.

В продължение на години кодът на JavaScript, хостван на адрес polyfill.com, е бил легитимен проект с отворен код, който е позволявал на по-старите браузъри да обработват разширени функции, които не са били поддържани в естествен вид. Чрез свързване към cdn.polyfill.io уебсайтовете можеха да гарантират, че устройствата, използващи по-стари браузъри, могат да визуализират съдържание в по-нови формати. Безплатната услуга беше популярна сред уебсайтовете, тъй като единственото, което трябваше да направят, беше да вградят връзката в сайтовете си. Останалото се извършваше от кода, хостван на сайта polyfill.

През февруари базираната в Китай компания Funnull придобива домейна и акаунта в GitHub, в който се намира кодът на JavaScript. На 25 юни изследователи от фирмата за сигурност Sansec съобщиха, че кодът, хостван на домейна polyfill, е бил променен, за да пренасочва потребителите към уебсайтове за възрастни и с хазартна тематика. Кодът е бил умишлено разработен така, че да прикрива пренасочванията, като ги извършва само в определени часове на деня и само срещу посетители, които отговарят на определени критерии.

Разкритието предизвика призиви за предприемане на действия в цялата индустрия. Два дни след публикуването на доклада на Sansec регистраторът на домейни Namecheap спря домейна - ход, който ефективно предотврати стартирането на зловредния код на устройствата на посетителите. Още тогава мрежите за доставка на съдържание като Cloudflare започнаха автоматично да заменят линковете на pollyfill с домейни, водещи към безопасни огледални сайтове. Google блокира рекламите на сайтове, в които е вграден домейнът Polyfill.io. Блокерът за уебсайтове uBlock Origin добави домейна в своя списък с филтри. На свой ред Андрю Бетс, първоначалният създател на Polyfill.io, призова собствениците на уебсайтове незабавно да премахнат връзките към библиотеката.

Според изследователи от фирмата за сигурност Censys към вторник, точно една седмица след като злонамереното поведение излезе наяве, 384 773 сайта продължават да поставят връзки към сайта. Някои от сайтовете бяха свързани с водещи компании, включително Hulu, Mercedes-Benz и Warner Bros. и федералното правителство на САЩ. Констатациите подчертават силата на атаките по веригата на доставки, които могат да разпространят зловреден софтуер сред хиляди или милиони хора само чрез заразяване на общ източник, на който всички те разчитат.

Нещо повече, сканирането на интернет, извършено от Censys, откри повече от 1.6 милиона сайта, свързващи се с един или повече домейни, които са регистрирани от същото лице, което притежава polyfill.io. Поне един от сайтовете, bootcss.com, е наблюдаван през юни 2023 г. да извършва злонамерени действия, подобни на тези на polyfill. Този домейн, както и три други - bootcdn.net, staticfile.net и staticfile.org - също са били уличени в изтичане на ключа за удостоверяване на потребителя за достъп до програмен интерфейс, предоставен от Cloudflare.

Снимка: Unsplash

Виж още: Нов модел с изкуствен интелект предсказва човешкото поведение с невероятна точност