Prosty w realizacji i tani atak, który dotknął 100000 serwisów. Znowu mamy do czynienia z infekcją łańcucha dostaw.

Co się wydarzyło? Jak opisują badacze z Sansec, bohaterem pierwszoplanowym jest tym razem popularna biblioteka Polyfill JS. Bohaterem drugoplanowym jest chińska firma, która wykupiła Polyfill (uzyskując dostęp do stosownej domeny oraz konta na GitHub)

Chińczycy złośliwie podmienili fragment kodu, serwowany z cdn.polyfill[.]io który automatycznie pobiera masa serwisów webowych, korzystających z biblioteki Co robi ten kod? Przekierowuje odwiedzających zainfekowaną stronę na adres: www.googie-anaiytics[.]com, który oczywiście nie jest Google Analitycsem, tylko lewą stroną, przekierowującą ofiary dalej. A tam już może czekać, phishing, malware, czy inne niespodzianki.

Co robić?

Pamiętaj, że jeśli ładujesz kod do swojej strony/aplikacji z zewnętrznego serwisu (domeny), to zhackowanie lub przejęcie tej domeny oznacza, że atakujący mogą „dostać się” do Twojego systemu.

Kłania się tutaj też kwestia analizy ryzyka dostawców, z których korzystamy (w tym przypadku dostawcą był nieopłacany OpenSourcowy developer, który wybrał inną ścieżkę kariery niż „dłubanie” w bezpłatnym projekcie).

~ms