El ataque a la cadena de suministro dirigido a la biblioteca de JavaScript Polyfill[.]io, ampliamente utilizada, tiene un alcance más amplio de lo que se creía anteriormente. Nuevos hallazgos de Censys muestran que más de 380 000 hosts están incorporando un script polyfill que se vincula al dominio malicioso a partir del 2 de julio de 2024.
Esto incluye referencias a «https://cdn.polyfill[.]io» o «https://cdn.polyfill[.]com» en sus respuestas HTTP, dijo la empresa de gestión de superficie de ataque.
«Aproximadamente 237.700 están ubicados dentro de la red Hetzner (AS24940), principalmente en Alemania», señaló. «Esto no es sorprendente: Hetzner es un servicio de alojamiento web popular y muchos desarrolladores de sitios web lo aprovechan».
Un análisis más detallado de los hosts afectados reveló dominios vinculados a empresas importantes como WarnerBros, Hulu, Mercedes-Benz y Pearson que hacen referencia al punto final malicioso en cuestión.
Los detalles del ataque surgieron a fines de junio de 2024, cuando Sansec alertó que el código alojado en el dominio Polyfill había sido modificado para redirigir a los usuarios a sitios web con temática de juegos de azar y para adultos. Los cambios en el código se realizaron de tal manera que las redirecciones solo se producían en ciertos momentos del día y solo contra los visitantes que cumplían ciertos criterios.
Se dice que el comportamiento nefasto se introdujo después de que el dominio y su repositorio GitHub asociado se vendieran a una empresa china llamada Funnull en febrero de 2024.
Desde entonces, el desarrollo ha llevado al registrador de dominios Namecheap a suspender el dominio, a las redes de distribución de contenido como Cloudflare a reemplazar automáticamente los enlaces de Polyfill con dominios que conducen a sitios espejo alternativos seguros, y a Google a bloquear los anuncios de los sitios que incorporan el dominio.
Si bien los operadores intentaron relanzar el servicio bajo un dominio diferente llamado polyfill[.]com, Namecheap también lo eliminó a partir del 28 de junio de 2024. De los otros dos dominios registrados por ellos desde principios de julio (polyfill[.]site y polyfillcache[.]com), el último sigue en funcionamiento.
Además de eso, se ha descubierto una red más extensa de dominios potencialmente relacionados, incluidos bootcdn[.]net, bootcss[.]com, staticfile[.]net, staticfile[.]org, unionadjs[.]com, xhsbpza[.]com, union.macoms[.]la, newcrbpc[.]com, que están vinculados a los mantenedores de Polyfill, lo que indica que el incidente podría ser parte de una campaña maliciosa más amplia.
«Se ha observado que uno de estos dominios, bootcss[.]com, realiza actividades maliciosas muy similares al ataque polyfill[.]io, y hay pruebas que se remontan a junio de 2023», señaló Censys, y agregó que descubrió 1,6 millones de hosts públicos que se vinculan a estos dominios sospechosos.
«No sería del todo descabellado considerar la posibilidad de que el mismo actor malicioso responsable del ataque a polyfill.io pudiera explotar estos otros dominios para actividades similares en el futuro».
El desarrollo se produce luego de que la empresa de seguridad de WordPress Patchstack advirtiera sobre los riesgos en cascada que plantea el ataque a la cadena de suministro de Polyfill en sitios que ejecutan el sistema de gestión de contenido (CMS) a través de docenas de complementos legítimos que se vinculan al dominio fraudulento.
¿Has encontrado a este artículo interesante? Puedes seguirnos en Facebook , Twitter y LinkedIn para leer más contenido que publicamos o contáctanos.