تیم فارنزیک Sansec درگزارش بیست و پنجم ژوئن 2024 خود، اعلام کرد که حمله زنجیره تامین Polyfill[.]io به بیش از ۳۸۰,۰۰۰ هاست را شناسایی کرده است.
ماجرا از این قرار است که cdn.polyfill.io یا سرویس CDN جاوا اسکریپت Polyfill.io، شروع به انتشار کدهای مخرب به کاربران وب سایتهایی کرده است که از Polyfill.io استفاده میکنند.
Polyfill.io، سرویسی است که به ارائه خودکار polyfillهایی که مرورگر برای نمایش یک وب سایت خاص نیاز دارد، کمک میکند. این سرویس هم به دلیل کارایی آن و هم به دلیل به روزرسانی منظم فناوریها و استانداردهای مورد نیاز، محبوبیت زیادی پیدا کرده است.
حمله زنجیره تامین Polyfill[.]io از فوریه 2024 آغاز شد، زمانی که Funnull، یک شرکت چینی، دامنه قانونی قبلی Polyfill.io و حساب GitHub آن را خریداری کرد. هکرها پس از خریداری Polyfill.io، کدهای مخرب را به آن تزریق کردند. مدت کوتاهی پس از آن، این سرویس شروع به هدایت کاربران به وب سایتهای آلوده و استقرار بدافزارهای پیچیده کرد.
Namecheap در 27 ژوئن 2024، دامنه مخرب polyfill.io را به حالت تعلیق درآورد. با این حال، به گفته Censys هنوز ۳۸۴,۷۷۳ میزبان وجود دارند که دارای یک اسکریپت polyfill لینک داده شده به دامنه آلوده میباشند. این میزبانها در پاسخ HTTP خود، ارجاعاتی به “https://cdn.polyfill[.]io” یا “https://cdn.polyfill[.]com” دارند.
Hetzner یک سرویس میزبانی وب محبوب است که بسیاری از توسعه دهندگان وب سایت از آن استفاده میکنند. تعداد قابل توجهی از این هاستها (حدود ۲۳۷,۷۰۰ هاست) در شبکه Hetzner (AS24940) میزبانی میشوند که عمدتاً در آلمان قرار دارند.
این میزبانها شامل وب سایتهای مرتبط با پلتفرمهای اصلی مانند Hulu، Mercedes-Benz و WarnerBros میباشند. کارشناسان امنیتی قویاً به صاحبان وب سایتها توصیه میکنند که هرگونه ارجاع به polyfill.io و دامنههای مرتبط با آن را از پایگاه کد خود حذف کنند.
Cloudflare و Fastly به عنوان یک راه حل، endpointهای جایگزین و ایمن را برای سرویسهای polyfill ارائه کردهاند.
تحقیقات بیشتر، منجر به کشف شبکه گستردهتری از دامنههای بالقوه آلوده شد. محققان چهار دامنه فعال اضافی مرتبط با همان اکانتی را شناسایی کردند که متعلق به مالک دامنه polyfill.io بود.Censys ، تعداد ۱,۶۳۷,۱۶۰ میزبان را شناسایی کرده است که به یک یا چند مورد از این endpointها ارجاع داده شده بودند.
حمله زنجیره تامین Polyfill[.]io، نشان دهنده تهدیدات فزاینده حملات زنجیره تامین نسبت به پروژههای منبع باز میباشد.
شبکه گستردهتری از دامنههای مرتبط بالقوه از جمله bootcdn[.]net، bootcss[.]com، staticfile[.]net، staticfile[.]org، unionadjs[.]com، xhsbpza[.]com ، union.macoms[.]la و newcrbpc[.]com، کشف شدهاند که به نظر میرسد این رخداد، بخشی از یک مجموعه حملات زنجیره تامین گستردهتر باشد.
این حملات در حالی گزارش شدند که Patchstack، شرکت امنیتی وردپرس در مورد خطرات ناشی از حمله زنجیره تامین Polyfill[.]io به سایتهایی که سیستم مدیریت محتوا (CMS) را از طریق دهها افزونه قانونی به دامنه مخرب، لینک میدهند، هشدار داده است.
غیرمنطقی نخواهد بود که این احتمال را در نظر گیریم که همان عاملی که مسئول حمله polyfill.io میباشد، ممکن است از این دامنهها برای فعالیتهای مخرب مشابه در آینده سوء استفاده کند.
منابع