Attacco alla catena di fornitura: Polyfill.io corrotto

Sventurato protagonista di questo esempio da manuale di attacco alla supply chain è il celebre progetto Polyfill.io, rilevato a febbraio 2024 da una società cinese.

Un polyfill è un pezzo di codice, solitamente JavaScript, che aggiunge funzionalità moderne a browser più vecchi che nativamente non le supportano.
Recentemente, ad opera di vari ricercatori tra cui SANSEC, è stato riscontrato che il dominio associato al servizio, cdn.polyfill.io, sia stato compromesso, permettendo l’injection di codice malevolo per reindirizzare gli utenti a siti fraudolenti e catturare dati sensibili.

Da maggio 2024, circa 100.000 siti web che si basano sul codice JavaScript ospitato da Polyfill.io sono stati colpiti da un attacco mirato dopo che la società cinese che ha acquisito il dominio sembrerebbe aver modificato il codice per reindirizzare i visitatori del sito web a siti dannosi.

La stessa Cert-Agid italiana invita le Pubblche Amministrazione che impieghino sui loro siti il servizio Polyfill.io a rimuoverlo al più presto.

Namecheap, gestore del dominio compromesso, ha già preso provvedimenti sospendendo e bonificando il dominio. Tuttavia, oltre a eliminare il servizio Polyfill.io, è fondamentale aggiornare anche le dipendenze sui siti che facevano riferimento al dominio originale, poiché attualmente i servizi di Polyfill.io non sono più disponibili, il che potrebbe causare malfunzionamenti.

Nel febbraio di quest’anno, un’azienda cinese aveva acquistato il dominio e l’account GitHub di Polyfill.io.
Da allora, secondo i ricercatori, il dominio è stato utilizzato per iniettare malware sui dispositivi mobili tramite i siti che incorporavano i file di cdn.polyfill.io.
Eventuali reclami sono stati rapidamente rimossi dal repository GitHub e negato ogni coinvolgimento dal nuovo proprietario.

Il codice polyfill viene generato dinamicamente in base alle intestazioni HTTP, aprendo così più vettori di attacco.
Sansec ha decodificato un particolare malware che reindirizza gli utenti mobili a un sito di scommesse sportive utilizzando un falso dominio di Google Analytics ( googie-anaiytics ).
Questo codice ha una protezione specifica contro il reverse engineering, attivandosi solo su dispositivi mobili specifici in orari particolari e non quando rileva un utente amministratore.
Inoltre, ritarda l’esecuzione quando trova un servizio di analisi web, probabilmente per evitare di essere rilevato nelle statistiche.

L’autore originale di Polyfill consiglia di non usare più Polyfill, poiché non è più necessario per i browser moderni.

Nel frattempo, sia Fastly che Cloudflare hanno messo a punto delle alternative affidabili per chi ne avesse ancora bisogno.

Comunicato cert-Agid:
https://www.agid.gov.it/it/notizie/polyfillio-il-cert-agid-consiglia-alle-pa-che-lo-utilizzano-sui-loro-siti-di-rimuoverlo

IoC e Ricerca Sansec:
https://sansec.io/research/polyfill-supply-chain-attack

Comunicato Github vendita Polyfill – febbraio 2024
https://github.com/formatjs/formatjs/issues/4363

#Polyfill #Sansec #Malware #cybertreath #malvertising #newthreath #cybersecurity #certagid

Condividi

Post correlati

Phishing attempt of booking.com users

Phishing: tentativi di frode emulando Booking.com

I truffatori stanno cercando di sfruttare la fiducia degli utenti nel brand, provando a sfruttare il sistema di messaggistica e la e-mail di conferma delle prenotazioni dedicato agli albergatori ed host del portale.

Microsoft Digital Defense Report 2024

Il Microsoft Digital Defense Report 2024 trasmette molto più di altre analisi viste quest’anno, quanto la situazione a livello di cybersicurezza si stia aggravando con

Condividi:

Facebook
LinkedIn

Come trovarci

Telefono

Email

Indirizzo

C.so Buenos Aires, 77
20124 – Milano​

Contattaci, ti ricontatteremo il prima possibile.

Come trovarci

Telefono

Email

Indirizzo

C.so Buenos Aires, 77
20124 – Milano​

Contattaci, ti ricontatteremo il prima possibile.

Observere