Preorder drugiego tomu książki sekuraka: Wprowadzenie do bezpieczeństwa IT. -15% z kodem: sekurak-book

Prosty w realizacji i tani atak, który dotknął 100000 serwisów. Znowu mamy do czynienia z infekcją łańcucha dostaw.

27 czerwca 2024, 09:19 | W biegu | komentarze 3

Co się wydarzyło? Jak opisują badacze z Sansec, bohaterem pierwszoplanowym jest tym razem popularna biblioteka Polyfill JS. Bohaterem drugoplanowym jest chińska firma, która wykupiła Polyfill (uzyskując dostęp do stosownej domeny oraz konta na GitHub)

Chińczycy złośliwie podmienili fragment kodu, serwowany z cdn.polyfill[.]io który automatycznie pobiera masa serwisów webowych, korzystających z biblioteki Co robi ten kod? Przekierowuje odwiedzających zainfekowaną stronę na adres: www.googie-anaiytics[.]com, który oczywiście nie jest Google Analitycsem, tylko lewą stroną, przekierowującą ofiary dalej. A tam już może czekać, phishing, malware, czy inne niespodzianki.

Co robić?

Pamiętaj, że jeśli ładujesz kod do swojej strony/aplikacji z zewnętrznego serwisu (domeny), to zhackowanie lub przejęcie tej domeny oznacza, że atakujący mogą „dostać się” do Twojego systemu.

Kłania się tutaj też kwestia analizy ryzyka dostawców, z których korzystamy (w tym przypadku dostawcą był nieopłacany OpenSourcowy developer, który wybrał inną ścieżkę kariery niż „dłubanie” w bezpłatnym projekcie).

~ms

Spodobał Ci się wpis? Podziel się nim ze znajomymi:



Komentarze

  1. Masakra

    Po raz kolejny widać, ci co projektują strony/serwisy i je tworzą są ograniczeni umysłowo.

    Odpowiedz
  2. Zygmunt

    Minister zdrowia i opieki społecznej zawsze doradza nie używanie CDN-ów do hostowania aktywnych elementów witryny :|

    Odpowiedz
  3. GABS
    Odpowiedz

Odpowiedz