警告:中國收購polyfill.io後散播惡意腳本,影響逾10萬網站

Featured Image
中國今年初收購polyfill.io網域後,腳本變成惡意軟體感染超過十萬網站,請立即刪除該程式碼!

中國一家機構今年初收購了polyfill.io網域,並將其用於感染超過十萬個網站的惡意軟體。多家安全公司發出警告,要求使用polyfill.io網域中的任何JavaScript程式碼的網站立即刪除該程式碼。polyfill.io網站提供了polyfills,這是一些有用的JavaScript程式碼片段,可以為較舊的瀏覽器添加新版本中內建的功能。這些填充的程式碼使開發人員能夠在各種瀏覽器上運行其網路程式碼,使開發更加便利。然而,現在我們了解到,polyfill.io網站中嵌入了惡意程式碼,這意味著任何訪問使用該網域的網站的人都將在其瀏覽器中運行該惡意軟體。

安全監測公司c/side的報告中指出,目前cdn.polyfill.io網域正在進行網路供應鏈攻擊。該網域過去為網站提供了加入JavaScript polyfills的服務,但現在在為終端使用者提供的腳本中插入了惡意程式碼。此外,我們還了解到Google已開始屏蔽使用受影響程式碼的Google Ads,這可能是為了減少這些網站的流量並降低潛在受害者的數量。受影響的網站所有者也已收到Google的提醒。

根據電子商務安全公司Sansec的安全鑑識團隊的報告,已有超過十萬個網站攜帶了惡意腳本。Sansec表示,自今年二月以來,這個網域一直在向嵌入了cdn.polyfill.io的任何網站注入惡意軟體。然而,有關惡意活動的投訴很快就從GitHub的儲存庫中消失了。Sansec指出,polyfill程式碼是根據HTTP標頭動態生成的,因此可能存在多個攻擊向量。

事實上,Andrew Betts在本世紀中期創建了開源的polyfill服務項目,他今年早些時候告訴人們不要使用polyfill.io。他建議所有人在所有權變更後從他們的網頁中移除其程式碼。他說,載入腳本意味著與第三方之間存在令人難以置信的信任關係,你真的信任他們嗎?此後,包括Fastly和Cloudflare在內的其他流行CDN提供商創建了polyfill.io的鏡像,以便網站可以繼續使用該程式碼,同時不必從中國實體載入內容。

總而言之,如果你的網站使用了polyfill.io網域中的任何JavaScript程式碼,請立即將其刪除。這將有助於保護你的網站和使用者免受惡意軟體感染的風險。同時,建議使用可信任的CDN提供商來提供polyfill程式碼,以確保安全性和可靠性。

Share this content: