Más de 110.000 sitios web afectados por ataque de la cadena de suministro secuestrada de polyfill News Bender Daily

Tabla de contenido

Google ha bloqueado anuncios en sitios de comercio electrónico que usan el servicio Polyfill.io. Esto se debe a que una empresa china adquirió el dominio y modificó la biblioteca de JavaScript («polyfill.js»). La modificación redirigió a los usuarios a sitios maliciosos y de estafas.

Según Sansec, más de 110.000 sitios que incrustan la biblioteca se ven afectados por el ataque de la cadena de suministro. Polyfill es una biblioteca popular que incorpora soporte para funciones modernas en los navegadores web. A principios de febrero, surgieron preocupaciones después de su compra por parte de la empresa china Funnull, una red de entrega de contenido (CDN).

El creador original del proyecto, Andrew Betts, instó a los propietarios de sitios web a eliminarlo de inmediato. Betts mencionó que «ningún sitio web de hoy requiere ninguno de los polyfills en la biblioteca polyfill[.]io» y que «la mayoría de las características agregadas a la plataforma web son adoptadas rápidamente por todos los navegadores principales, con algunas excepciones que generalmente no se pueden rellenar, como Web Serial y Web Bluetooth».

Este desarrollo también llevó a Cloudflare y Fastly a ofrecer puntos finales alternativos para ayudar a los usuarios a alejarse de polyfill[.]io.

Los investigadores de Cloudflare, Sven Sauleau y Michael Tremante, expresaron su preocupación por el posible riesgo de un ataque de la cadena de suministro. Señalaron que cualquier sitio web que incruste un enlace al dominio original de polyfill[.]io, ahora dependerá de Funnull para mantener y asegurar el proyecto subyacente y evitar el riesgo de un ataque de la cadena de suministro. Según ellos, un ataque de este tipo ocurriría si la tercera parte subyacente estuviera comprometida o alterara el código que se sirve a los usuarios de manera nefasta. Esto provocaría que todos los sitios web que utilizan la herramienta se vean comprometidos.

Vía The Hacker News

La entrada Más de 110.000 sitios web afectados por ataque de la cadena de suministro secuestrada de polyfill se publicó primero en News Bender Daily.

INFORMACION DEL PUBLICADOR
Picture of Kamal Majaiti
Kamal Majaiti
Administrador de sistemas e informático por vocación.
COMPARTELO EN REDES
Publica un comentario

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.