Google ha bloqueado anuncios en sitios de comercio electrónico que usan el servicio Polyfill.io. Esto se debe a que una empresa china adquirió el dominio y modificó la biblioteca de JavaScript («polyfill.js»). La modificación redirigió a los usuarios a sitios maliciosos y de estafas.
Según Sansec, más de 110.000 sitios que incrustan la biblioteca se ven afectados por el ataque de la cadena de suministro. Polyfill es una biblioteca popular que incorpora soporte para funciones modernas en los navegadores web. A principios de febrero, surgieron preocupaciones después de su compra por parte de la empresa china Funnull, una red de entrega de contenido (CDN).
El creador original del proyecto, Andrew Betts, instó a los propietarios de sitios web a eliminarlo de inmediato. Betts mencionó que «ningún sitio web de hoy requiere ninguno de los polyfills en la biblioteca polyfill[.]io» y que «la mayoría de las características agregadas a la plataforma web son adoptadas rápidamente por todos los navegadores principales, con algunas excepciones que generalmente no se pueden rellenar, como Web Serial y Web Bluetooth».
Este desarrollo también llevó a Cloudflare y Fastly a ofrecer puntos finales alternativos para ayudar a los usuarios a alejarse de polyfill[.]io.
Los investigadores de Cloudflare, Sven Sauleau y Michael Tremante, expresaron su preocupación por el posible riesgo de un ataque de la cadena de suministro. Señalaron que cualquier sitio web que incruste un enlace al dominio original de polyfill[.]io, ahora dependerá de Funnull para mantener y asegurar el proyecto subyacente y evitar el riesgo de un ataque de la cadena de suministro. Según ellos, un ataque de este tipo ocurriría si la tercera parte subyacente estuviera comprometida o alterara el código que se sirve a los usuarios de manera nefasta. Esto provocaría que todos los sitios web que utilizan la herramienta se vean comprometidos.
Vía The Hacker News
