26 jun 2024

Más de 100.000 sitios comprometidos por Polyfill

Más de 100.000 sitios web han sido afectados por un ataque a la cadena de suministro a través del servicio Polyfill[.]io. Este ataque se produjo después de que una empresa china adquiriera el dominio y modificara el script para redirigir a los usuarios a sitios maliciosos y de estafa.

Polyfill es un fragmento de código, generalmente en JavaScript, que añade funcionalidades modernas a navegadores antiguos que normalmente no las soportan, permitiendo así que navegadores antiguos utilicen funciones de JavaScript disponibles solo en navegadores modernos.

El servicio Polyfill es utilizado por cientos de miles de sitios web para asegurar que todos los visitantes puedan usar la misma base de código, incluso si sus navegadores no soportan características modernas. Sin embargo, la empresa de ciberseguridad Sansec advirtió que el dominio y el servicio de Polyfill fueron adquiridos a principios de este año por una empresa china llamada "Funnull", la cual modificó el script para introducir código malicioso en los sitios web, constituyendo un ataque a la cadena de suministro.

"En febrero de este año, una empresa china compró el dominio y la cuenta de GitHub. Desde entonces, este dominio ha estado inyectando malware en dispositivos móviles a través de cualquier sitio que incruste cdn.polyfill[.]io", explicó Sansec en su comunicado.

El desarrollador original del proyecto Polyfill advirtió que nunca había sido propietario del sitio polyfill[.]io y recomendó a todos los sitios web eliminarlo de inmediato para reducir el riesgo de un posible ataque a la cadena de suministro. En respuesta, Cloudflare y Fastly establecieron sus propios espejos del servicio Polyfill para que los sitios web pudieran usar una fuente confiable.

La empresa de ciberseguridad Leak Signal creó un sitio web llamado Polykill.io que permite buscar sitios usando cdn.polyfill[.]io y proporciona información sobre cómo cambiar a alternativas.

"Ningún sitio web requiere hoy en día ninguno de los polyfills en la biblioteca http://polyfill[.]io. La mayoría de las características añadidas a la plataforma web son rápidamente adoptadas por todos los principales navegadores", tuiteó el desarrollador original.

En los últimos meses, la predicción del desarrollador se hizo realidad y el servicio Polyfill fue redirigido a polyfill.io.bsclink[.]cn, mantenido por los nuevos propietarios. Los desarrolladores que incrustaron los scripts cdn.polyfill[.]io (sitio histórico) en sus sitios web obtenían el código directamente del sitio de la empresa china, que inyectaba código malicioso redirigiendo a los visitantes a sitios no deseados sin el conocimiento del propietario del sitio web.

Sansec observó que el script modificado redirigía principalmente a sitios de estafa, como un falso sitio de apuestas deportivas, utilizando dominios falsos de Google Analytics (www.googie-anaiytics[.]com) o redireccionamientos como kuurza[.]com/redirect?from=bitget. Los investigadores han encontrado difícil analizar completamente el script modificado debido a su especificidad y resistencia a la ingeniería inversa.

"El código tiene una protección específica contra la ingeniería inversa y solo se activa en dispositivos móviles específicos a horas específicas. No se activa cuando detecta un usuario administrador y retrasa la ejecución cuando encuentra un servicio de análisis web, presumiblemente para no aparecer en las estadísticas", continuó Sansec.

Google ha comenzado a notificar a los anunciantes sobre este ataque a la cadena de suministro, advirtiéndoles que sus páginas de destino incluyen el código malicioso y podrían redirigir a los visitantes lejos del sitio previsto sin el conocimiento o permiso del propietario del sitio web.

Google también advierte que otros servicios, como Bootcss, Bootcdn y Staticfile, también han sido encontrados causando redireccionamientos no deseados, lo que potencialmente añade miles, si no cientos de miles, de sitios afectados por estos ataques a la cadena de suministro.

Investigadores de seguridad y entusiastas de la inteligencia de código abierto (OSINT) descubrieron un repositorio de GitHub asociado con el dominio polyfill.io que estuvo involucrado en un ataque a la cadena de suministro a gran escala que ahora se cree que afectó a decenas de millones de sitios web.

Polyfill, BootCDN, Bootcss y Staticfile afectados

Los secretos filtrados en el repositorio permitieron a los investigadores atribuir el ataque a la cadena de suministro que involucró a los 4 servicios CDN, a saber, Polyfill, BootCDN, Bootcss y Staticfile, a una sola entidad.

El descubrimiento se realizó como resultado del esfuerzo de colaboración entre el investigador Ze-Zheng Wu, un usuario seudónimo de mdmck10, y el grupo de investigación de seguridad MalwareHunterTeam.

Ze-Zheng Wu, desarrollador y candidato a doctorado con sede en Hangzhou, China, descubrió un repositorio de GitHub titulado "data.polyfill[.]com" que parecía contener el código fuente backend asociado con el sitio web.

La clave API de Cloudflare permitió a los investigadores, en particular a mdmck10, consultar y obtener una lista de zonas activas asociadas con la cuenta de Cloudflare en particular.

Actualización: este ataque a la cadena de suministro tiene un alcance más amplio de lo que se pensaba anteriormente, con nuevos hallazgos de Censys que muestran que más de 380.000 hosts están incorporando un script de polyfill que se vincula al dominio malicioso a partir del 2 de julio de 2024.

IoCs

  • https://kuurza[.]com/redirect?from=bitget
  • https://www.googie-anaiytics[.]com/html/checkcachehw.js
  • https://www.googie-anaiytics[.]com/ga.js
  • bootcss[.]com
  • staticfile[.]net
  • staticfile[.]org
  • unionadjs[.]com
  • xhsbpza[.]com
  • union.macoms[.]la
  • newcrbpc[.]com
  • cdn.bootcdn[.]net
  • cdn.bootcss[.]com
  • cdn.staticfile[.]net
  • cdn.staticfile[.]org
  • Listado de sitios que utiliza(ban) Polyfill

Fuente: SanSec

Suscríbete a nuestro Boletín

0 Comments:

Publicar un comentario

Gracias por dejar un comentario en Segu-Info.

Gracias por comentar!