Недавний инцидент атаки на цепочку поставок Polyfill оказал серьезное воздействие на более чем 100 тысяч сайтов. Библиотека Polyfill.js, широко используемая для поддержки старых браузеров, была приобретена китайской компанией, после чего домен cdn.polyfill.io стал использоваться для распространения вредоносного ПО.
Код Polyfill генерируется на основе HTTP-заголовков, что создает множество потенциальных векторов атак. Вредоносная программа, обнаруженная компанией Sansec, перенаправляет мобильные устройства на сайт спортивных ставок через поддельный домен Google Analytics. Код имеет защиту от обратного инжиниринга и активируется только на определенных устройствах в определенные часы. Разработчик Polyfill рекомендует отказаться от использования этой библиотеки, так как современным браузерам она уже не требуется. Инцидент является примером атаки на цепочку поставок.
Indicators of Compromise
URLs
- https://kuurza.com/redirect?from=bitget
- https://www.googie-anaiytics.com/ga.js
- https://www.googie-anaiytics.com/html/checkcachehw.js