Un ataque a la cadena de suministro dirigido a la ampliamente utilizada biblioteca de JavaScript Polyfill[.]io se ha encontrado en más de 380,000 hosts, según Censys. Un análisis adicional mostró que aproximadamente 237,700 de estos hosts se encuentran en la red Hetzner (AS24940), principalmente en Alemania.
Se identificaron dominios ligados a empresas prominentes como WarnerBros, Hulu, Mercedes-Benz y Pearson que hacen referencia al dominio malicioso. El ataque surgió a finales de junio de 2024 cuando Sansec alertó que el código alojado en el dominio Polyfill redirigía a los usuarios a sitios web con contenido para adultos y de juegos de azar, con redirecciones programadas para ciertos momentos del día y para visitantes específicos.
El dominio y su repositorio asociado en GitHub fueron vendidos a una empresa china llamada Funnull en febrero de 2024, lo que se cree que introdujo el comportamiento malicioso. Esto ha llevado a la suspensión del dominio por parte de Namecheap, así como a medidas de reemplazo automático de enlaces por parte de redes de distribución de contenido como Cloudflare y bloqueos de anuncios por parte de Google.
Los operadores intentaron relanzar el servicio bajo un nuevo dominio, polyfill[.]com, pero también fue suspendido por Namecheap a finales de junio de 2024. Dos nuevos dominios, polyfill[.]site y polyfillcache[.]com, fueron registrados a principios de julio, siendo el último el único activo.
Se ha descubierto una red más extensa de dominios potencialmente relacionados, indicando que el incidente podría ser parte de una campaña maliciosa más amplia. Censys también encontró 1.6 millones de hosts públicamente accesibles vinculados a dominios sospechosos, sugiriendo la posibilidad de futuras actividades maliciosas.
Este desarrollo plantea riesgos en cascada para sitios que ejecutan el sistema de gestión de contenido (CMS) a través de docenas de plugins legítimos que enlazan con el dominio falso, según la empresa de seguridad de WordPress, Patchstack.
Vía The Hacker News