حمله زنجیره تامین Polyfill[.]io، بیش از ۳۸۰,۰۰۰ هاست را تحت تاثیر قرار داد

حمله زنجیره تامین Polyfill[.]io

تیم فارنزیک Sansec درگزارش بیست و پنجم ژوئن 2024 خود، اعلام کرد که حمله زنجیره تامین Polyfill[.]io به بیش از ۳۸۰,۰۰۰ هاست را شناسایی کرده است.

ماجرا از این قرار است که cdn.polyfill.io یا سرویس CDN جاوا اسکریپت Polyfill.io، شروع به انتشار کدهای مخرب به کاربران وب سایت‌هایی کرده است که از Polyfill.io استفاده می‌کنند.

Polyfill.io، سرویسی است که به ارائه خودکار polyfillهایی که مرورگر برای نمایش یک وب سایت خاص نیاز دارد، کمک می‌کند. این سرویس هم به دلیل کارایی آن و هم به دلیل به ‌روزرسانی منظم فناوری‌ها و استانداردهای مورد نیاز، محبوبیت زیادی پیدا کرده است.

حمله زنجیره تامین Polyfill[.]io از فوریه 2024 آغاز شد، زمانی که Funnull، یک شرکت چینی، دامنه قانونی قبلی Polyfill.io و حساب GitHub آن را خریداری کرد. هکرها پس از خریداری Polyfill.io، کدهای مخرب را به آن تزریق کردند. مدت کوتاهی پس از آن، این سرویس شروع به هدایت کاربران به وب سایت‌های آلوده و استقرار بدافزارهای پیچیده کرد.

Namecheap در 27 ژوئن 2024، دامنه مخرب polyfill.io را به حالت تعلیق درآورد. با این حال، به گفته Censys هنوز ۳۸۴,۷۷۳ میزبان وجود دارند که دارای یک اسکریپت polyfill لینک داده شده به دامنه آلوده می‌باشند. این میزبان‌ها در پاسخ‌ HTTP خود، ارجاعاتی به “https://cdn.polyfill[.]io” یا “https://cdn.polyfill[.]com” دارند.

Hetzner یک سرویس میزبانی وب محبوب است که بسیاری از توسعه دهندگان وب سایت از آن استفاده می‌کنند. تعداد قابل توجهی از این هاست‌ها (حدود ۲۳۷,۷۰۰ هاست) در شبکه Hetzner (AS24940) میزبانی می‌شوند که عمدتاً در آلمان قرار دارند.

این میزبان‌ها شامل وب سایت‌های مرتبط با پلتفرم‌های اصلی مانند Hulu، Mercedes-Benz و WarnerBros می‌باشند. کارشناسان امنیتی قویاً به صاحبان وب سایت‌ها توصیه می‌کنند که هرگونه ارجاع به polyfill.io و دامنه‌های مرتبط با آن را از پایگاه کد خود حذف کنند.

Cloudflare و Fastly به عنوان یک راه حل، endpointهای جایگزین و ایمن را برای سرویس‌های polyfill ارائه کرده‌اند.

تحقیقات بیشتر، منجر به کشف شبکه گسترده‌تری از دامنه‌های بالقوه آلوده شد. محققان چهار دامنه فعال اضافی مرتبط با همان اکانتی را شناسایی کردند که متعلق به مالک دامنه polyfill.io بود.Censys ، تعداد ۱,۶۳۷,۱۶۰ میزبان را شناسایی کرده است که به یک یا چند مورد از این endpointها ارجاع داده شده بودند.

حمله زنجیره تامین Polyfill[.]io، نشان دهنده تهدیدات فزاینده حملات زنجیره تامین نسبت به پروژه‌های منبع باز می‌باشد.

شبکه گسترده‌تری از دامنه‌های مرتبط بالقوه از جمله bootcdn[.]net، bootcss[.]com، staticfile[.]net، staticfile[.]org، unionadjs[.]com، xhsbpza[.]com ، union.macoms[.]la و newcrbpc[.]com، کشف شده‌اند که به نظر می‌رسد این رخداد، بخشی از یک مجموعه حملات زنجیره تامین گسترده‌‌تر باشد.

این حملات در حالی گزارش شدند که Patchstack، شرکت امنیتی وردپرس در مورد خطرات ناشی از حمله زنجیره تامین Polyfill[.]io به سایت‌هایی که سیستم مدیریت محتوا (CMS) را از طریق ده‌ها افزونه قانونی به دامنه مخرب، لینک می‌دهند، هشدار داده است.

غیرمنطقی نخواهد بود که این احتمال را در نظر گیریم که همان عاملی که مسئول حمله polyfill.io می‌باشد، ممکن است از این دامنه‌ها برای فعالیت‌های مخرب مشابه در آینده سوء استفاده کند.

 

منابع

 

مقاله مرتبط: