Los actores maliciosos están explotando el popular servicio Polyfill.io para llevar a cabo ataques de rebote a gran escala explotando la cadena de suministro del software.
En una publicación de blog publicada el martes, investigadores de la firma holandesa de ciberseguridad Sansec revelaron una campaña masiva de compromiso de la cadena de suministro de software que involucra a Polyfill.io, un servicio de biblioteca JavaScript ampliamente utilizado. Sansec descubrió que actores maliciosos habían inyectado cargas útiles de Polyfill maliciosas en más de 100.000 sitios web. Inicialmente, los investigadores observaron actividad a partir de febrero, después de que Funnull, una empresa china, adquiriera el dominio Polyfill.io y la cuenta de GitHub.
Sansec señala que el dominio ha inyectado malware en dispositivos móviles a través de cualquier sitio web que lo integre utilizando el dominio cdn.polyfill.io. Aunque la biblioteca de código abierto se utiliza para admitir navegadores más antiguos, el alcance potencial del ataque es significativo. SanSec estima que más de 100.000 sitios, incluidos Intuit y el Foro Económico Mundial, utilizan polyfill.
Manipular funciones y cuentas de GitHub para llevar a cabo ataques que comprometan la cadena de suministro de software es una tendencia creciente en 2024.
“El código Polyfill se genera dinámicamente en función de encabezados HTTP, por lo que es probable que haya múltiples vectores de ataque”, dice Sansec en su blog.
Los investigadores investigaron un incidente en el que Polyfill se utilizó maliciosamente para redirigir a los usuarios de dispositivos móviles a un sitio de apuestas deportivas utilizando un dominio falso de Google Analytics. Sansec advirtió que el código fue escrito con protección de ingeniería inversa y solo se activó en dispositivos específicos y en momentos específicos. Aún más preocupante es que el código no se activó cuando detectó un usuario administrador y retrasó la ejecución cuando se encontró un servicio de análisis web.
“El autor original de Polyfill recomienda no usarlo en absoluto, porque de todos modos los navegadores modernos ya no lo necesitan”, señala Sansec.
Sansec actualizó su blog el miércoles indicando que ha sufrido ataques DDoS desde la publicación de su estudio en Polyfill.io. Además, los investigadores notaron que Namecheap había suspendido el nombre de dominio, lo que “elimina el riesgo por ahora”. Anteriormente señalaron que Funnull había registrado varios nombres de dominio de respaldo para Polyfill.io con Namecheap y otros registradores de nombres de dominio.
Funnull emitió un comunicado en X, anteriormente Twitter, el miércoles, refutando cualquier participación del servicio Polyfill.io en actividades maliciosas.
Identificar la amenaza
Cloudflare anunció el miércoles que tomó medidas drásticas contra Polyfill.io y Funnull, que esencialmente están eliminando el dominio de su CDN. Al igual que SanSec y otros proveedores, Cloudflare observó que actores maliciosos utilizaban el servicio para inyectar código JavaScript malicioso en los navegadores de los usuarios. Los investigadores han aconsejado a los usuarios que no confíen en el servicio de biblioteca de JavaScript por muchas razones, incluidas las afirmaciones falsas publicadas sobre Cloudflare en el sitio web Polyfill.io.
Cloudflare recomendó eliminar por completo el servicio de los sitios web.
“Esta es una amenaza real para todo Internet, dada la popularidad de esta biblioteca”, escribió Cloudflare en una publicación de blog: “Durante las últimas 24 horas, hemos implementado un servicio de reescritura automática de URL de JavaScript que reescribirá cualquier enlace en Polyfill. io encontrado en un sitio web apoderado por Cloudflare en un enlace a nuestro espejo en cdnjs. Esto evitará interrumpir la funcionalidad del sitio y al mismo tiempo mitigará el riesgo de un ataque a la cadena de suministro”.
Cloudflare agregó que la función se habilita automáticamente para cualquier sitio web que utilice su nivel gratuito. En febrero, Cloudflare creó su propio espejo del sitio Polyfill.io debido a las sospechas del nuevo propietario del dominio, Funnull. En ese momento, Cloudflare señaló que Funnull era una empresa relativamente desconocida, lo que generó temores por la integridad de la cadena de suministro.
“El nuevo propietario era desconocido en la industria y no tenía la confianza para gestionar un proyecto como polyfill.io. La preocupación, señalada incluso por el autor original, era que si abusaran de polyfill.io inyectando código adicional en la biblioteca, podría causar problemas de seguridad de amplio alcance en Internet, afectando a varios cientos de miles de sitios web”. Puedes leer en la entrada del blog.
Tras la pista del actor malicioso
Cloudflare agregó que sus preocupaciones sobre los ataques a la cadena de suministro se hicieron realidad el martes cuando los usuarios de Polyfill.io fueron redirigidos a sitios maliciosos. El blog señala que Cloudflare no bloqueó el dominio por temor a interrupciones generalizadas. Cloudflare dijo que las estimaciones muestran que polyfill.io se utiliza “en casi el 4% de todos los sitios web”.
El proveedor de servicios en la nube Fastly también creó un espejo de Polyfill.io antes de la adquisición de Funnull, citando preocupaciones similares.
Se han identificado otros nombres de dominio involucrados: bootcss[.]com, bootcdn[.]neto, archivo estático[.]org, pero también archivo estático[.]neto, unionadjs[.]con, xhsbpza[.]com, union.macoms[.]el y nuevocrbpc[.]com. El vínculo entre estos nombres de dominio es una ID de Cloudflare que se encuentra en el repositorio GitHub de la librería.
Un investigador de seguridad también encontró referencias que sugieren que podría tratarse de una campaña de citas que se originó en junio de 2023.
