BI.ZONE WAF защищает от новой атаки на цепочку поставок Polyfill

Недавно стало известно о массовых кибератаках на веб‑приложения, использующие Polyfill, — популярный сервис JavaScript CDN. Под угрозой оказались более 100 000 веб‑сайтов. Специалисты BI.ZONE WAF и группа анализа защищенности BI.ZONE оперативно разработали правила, соблюдение которых обезопасит пользователей

28 июня 2024 г.

В начале 2024 года китайская компания Funnull выкупила право владения доменом polyfill.io, который ранее использовался легитимным CDN‑сервисом. Новый владелец внес изменения в исходный код оригинального файла polyfill.min.js, добавив нелегитимные JavaScript‑конструкции, перенаправляющие пользователей на мошеннические веб‑сайты.

Исследователи из компании Sansec подтвердили наличие угрозы и отметили, что с тех пор сервис был замечен в реализации несанкционированных действий и аномальной активности.

Polyfill использовался не только при разработке веб‑сайтов, но и в известных NPM‑библиотеках. Это означает, что веб‑приложения, использующие сервис или связанные с ним библиотеки и фреймворки, автоматически попадают в зону риска. Как и автор оригинального проекта, мы рекомендуем принять необходимые меры безопасности и на время отказаться от использования сервиса.

Дмитрий Царев

Руководитель управления облачных решений кибербезопасности BI.ZONE

Для тех, кто не может отследить использование Polyfill, специалисты BI.ZONE WAF совместно с командой анализа защищенности разработали правила санитизации. Они позволяют обнаружить в HTTP‑ответе метрики использования сервиса Polyfill и ограничить их работоспособность. Это не позволит браузеру пользователя прочитать нелегитимные веб‑теги, обратиться к компрометированному домену сервиса Polyfill и загрузить зараженный JavaScript‑модуль.