Gli autori malintenzionati stanno sfruttando il popolare servizio Polyfill.io per effettuare attacchi di rimbalzo su larga scala sfruttando la catena di fornitura del software.
In un post sul blog pubblicato martedì, i ricercatori della società olandese di sicurezza informatica Sansec hanno rivelato una massiccia campagna di compromissione della catena di fornitura del software che coinvolge Polyfill.io, un servizio di libreria JavaScript ampiamente utilizzato. Sansec ha scoperto che autori malintenzionati avevano iniettato payload dannosi Polyfill in più di 100.000 siti web. I ricercatori hanno inizialmente osservato l’attività a partire da febbraio, dopo che Funnull, una società cinese, ha acquisito il dominio Polyfill.io e l’account GitHub.
Sansec sottolinea che il dominio ha iniettato malware nei dispositivi mobili attraverso qualsiasi sito Web che lo integra utilizzando il dominio cdn.polyfill.io. Sebbene la libreria open source venga utilizzata per supportare i browser più vecchi, la portata potenziale dell’attacco è significativa. SanSec stima che più di 100.000 siti, tra cui Intuit e il World Economic Forum, utilizzino il polyfill.
La manipolazione delle funzioni e degli account di GitHub per sferrare attacchi di compromissione della catena di fornitura del software è una tendenza in crescita nel 2024.
“Il codice Polyfill viene generato dinamicamente in base alle intestazioni HTTP, quindi sono probabili più vettori di attacco”, afferma Sansec nel suo blog.
I ricercatori hanno indagato su un incidente in cui polyfill è stato utilizzato in modo dannoso per reindirizzare gli utenti mobili a un sito di scommesse sportive utilizzando un falso dominio Google Analytics. Sansec ha avvertito che il codice è stato scritto con protezione di reverse engineering e attivato solo su dispositivi specifici e in orari specifici. Ancora più preoccupante è il fatto che il codice non si attivava quando rilevava un utente amministratore e ritardava l’esecuzione quando veniva trovato un servizio di analisi web.
“L’autore originale di polyfill consiglia di non utilizzarlo affatto, perché comunque i browser moderni non ne hanno più bisogno”, osserva Sansec.
Mercoledì Sansec ha aggiornato il suo blog indicando di aver subito attacchi DDoS dalla pubblicazione del suo studio su Polyfill.io. Inoltre, i ricercatori hanno notato che Namecheap aveva sospeso il nome di dominio, il che “elimina il rischio per ora”. In precedenza avevano notato che Funnull aveva registrato diversi nomi di dominio di backup per Polyfill.io con Namecheap e altri registrar di nomi di dominio.
Mercoledì Funnull ha rilasciato una dichiarazione su X, ex Twitter, confutando qualsiasi coinvolgimento del servizio Polyfill.io in attività dannose.
Identificare la minaccia
Cloudflare ha annunciato mercoledì di aver intrapreso un’azione drastica contro Polyfill.io e Funnull che stanno sostanzialmente rimuovendo il dominio dal suo CDN. Come SanSec e altri provider, Cloudflare ha osservato attori malintenzionati che utilizzavano il servizio per iniettare codice JavaScript dannoso nei browser degli utenti. I ricercatori hanno consigliato agli utenti di non fidarsi del servizio di libreria JavaScript per molte ragioni, comprese false affermazioni pubblicate su Cloudflare sul sito Web Polyfill.io.
Cloudflare ha consigliato di rimuovere del tutto il servizio dai siti web.
“Questa è una vera minaccia per l’intera Internet, data la popolarità di questa libreria”, ha scritto Cloudflare in un post sul blog: “Nelle ultime 24 ore, abbiamo implementato un servizio di riscrittura automatica degli URL JavaScript che riscriverà qualsiasi collegamento a polyfill. io trovato su un sito web procura da Cloudflare in un collegamento al nostro mirror sotto cdnjs. Ciò eviterà l’interruzione della funzionalità del sito mitigando al tempo stesso il rischio di un attacco alla catena di approvvigionamento”.
Cloudflare ha aggiunto che la funzionalità viene automaticamente abilitata per qualsiasi sito Web che utilizza il suo livello gratuito. A febbraio, Cloudflare ha creato il proprio mirror del sito Polyfill.io perché sospettava del nuovo proprietario del dominio, Funnull. All’epoca, Cloudflare sottolineò che Funnull era un’azienda relativamente sconosciuta, suscitando timori per l’integrità della catena di approvvigionamento.
“Il nuovo proprietario era sconosciuto nel settore e non aveva la sicurezza necessaria per gestire un progetto come polyfill.io. La preoccupazione, sottolineata anche dall’autore originale, era che se avessero abusato di polyfill.io inserendo codice aggiuntivo nella libreria, ciò avrebbe potuto causare problemi di sicurezza ad ampio raggio su Internet, colpendo diverse centinaia di migliaia di siti web”, abbiamo può leggere nel post del blog.
Sulle tracce del malintenzionato
Cloudflare ha aggiunto che le sue preoccupazioni sugli attacchi alla catena di fornitura si sono concretizzate martedì, quando gli utenti di Polyfill.io sono stati reindirizzati a siti dannosi. Il blog sottolinea che Cloudflare non ha bloccato il dominio per timori di interruzioni diffuse. Cloudflare afferma che le stime mostrano che polyfill.io viene utilizzato “su quasi il 4% di tutti i siti web”.
Anche il fornitore di servizi cloud Fastly ha creato un mirror di Polyfill.io prima dell’acquisizione di Funnull, citando preoccupazioni simili.
Sono stati individuati altri nomi di dominio coinvolti: bootcss[.]com, bootcdn[.]net, file statico[.]org, ma anche staticfile[.]net, unionadj[.]com, xhsbpza[.]com, unione.macoms[.]the e newcrbpc[.]com. Il collegamento tra questi nomi di dominio è un ID Cloudflare trovato nel repository GitHub della libreria.
Un ricercatore di sicurezza ha anche trovato riferimenti che suggeriscono che questa potrebbe essere una campagna di appuntamenti iniziata nel giugno 2023.
