Mais de 384 mil sites foram pegos vinculados a uma biblioteca de código JavaScript comprometida recentemente, de acordo com pesquisadores de segurança. O código, anteriormente legítimo, foi usado em um ataque de supply-chain para redirecionar visitantes para sites maliciosos.
Durante anos, o código JavaScript hospedado em polyfill[.]com era um projeto open source confiável. Ele permitia que navegadores antigos executassem funções avançadas. Bastava incluir um link para o código que o site cuidava do resto. O problema começou em fevereiro, quando a empresa chinesa Funnull adquiriu o domínio e a conta do GitHub que hospedava o código.
No final de junho, pesquisadores da Sansec descobriram que o código havia sido alterado para redirecionar usuários para sites de apostas e conteúdo adulto. O ataque foi programado para funcionar em determinados horários e contra visitantes específicos para dificultar a detecção.
Após a divulgação da vulnerabilidade, a Namecheap, registradora do domínio, suspendeu o polyfill. Redes de distribuição de conteúdo como a Cloudflare começaram a substituir links para o código por mirrors seguros. O Google bloqueou anúncios em sites usando o Polyfill e extensões de segurança como o uBlock Origin adicionaram o domínio à lista de bloqueio. Andrew Betts, criador original do Polyfill[.]io, pediu aos proprietários de sites que removessem o código imediatamente.
Uma semana depois da descoberta do ataque, 384.773 sites ainda estavam vinculados ao polyfill, incluindo empresas como Hulu, Mercedes-Benz, Warner Bros. e até mesmo um site do governo federal dos Estados Unidos.
Esse incidente reforça a gravidade dos ataques de supply-chain, capazes de infectar milhares de pessoas apenas por comprometer uma fonte comum. “O ataque foi interrompido com a suspensão do domínio”, disse Aidan Holland, da Censys. “Mas se ele for liberado novamente, pode voltar a ser usado para fins maliciosos.”
Além disso, a pesquisa identificou mais de 1,6 milhão de sites vinculados a domínios registrados pela mesma entidade proprietária do polyfill. Um desses sites, o bootcss[.]com, já havia sido flagrado realizando ações maliciosas em junho de 2023. Esse e outros domínios vazaram uma chave de autenticação de usuário para acessar uma interface de programação da Cloudflare.
“Até agora, apenas o bootcss.com mostrou sinais de atividade maliciosa”, disseram os pesquisadores da Censys. “Não sabemos sobre os outros domínios, mas é possível que o mesmo ator por trás do ataque ao polyfill.io os use para fins similares no futuro.”
A Alemanha foi o país com o maior número de sites afetados (quase 62%), a maioria hospedada pela Hetzner. Entre os domínios identificados estão grandes nomes como Pearson, Warner Bros e AWS.
A pesquisa também encontrou 182 sites governamentais, incluindo um do governo federal dos EUA (feedthefuture[.]gov). A lista dos 50 principais sites afetados está disponível [aqui] (link omitido para proteção).
A reportagem tentou contato com representantes da Funnull, mas não obteve retorno.
