A Polyfill[.]io támadás több mint 380.000 hosztot érint, köztük nagyvállalatokat is

Editors' Pick
Yanac , , ,

A Polyfill[.]io Javascript könyvtárat egy olyan ellátási lánc művelet során támadták meg, amely az eredetileg ismertnél szélesebb kört célzott meg. Több mint 380 000 hosztot érintett ez a támadás, amelyek HTTP-válaszaikban a “https://cdn.polyfill[.]io” vagy a “https://cdn.polyfill[.]com” hivatkozásra hivatkoznak. Az érintett hosztok nagy része a Hetzner hálózatán belül található, elsősorban Németországban. A támadás továbbá olyan ismert vállalatokhoz, például a Hulu, a Mercedes-Benz, a WarnerBros és a Pearson cégekhez kapcsolódó domaineket is érintett, amelyek a szóban forgó rosszindulatú végpontra hivatkoznak.

A kibertámadást először 2024. június végén azonosították, amikor a Sansec jelezte, hogy a Polyfill tartományban olyan módosított kódot tároltak, amely a felhasználókat felnőtt- és szerencsejátékos webhelyekre irányította át. Ezt a rosszindulatú kódot úgy tervezték, hogy az ilyen átirányításokat csak bizonyos napszakokban és csak olyan célzott felhasználók esetében aktiválja, akik megfelelnek bizonyos kritériumoknak. Úgy tűnt, hogy az elterelési incidens kezdete akkorra tehető, amikor a Polyfill domaint és annak GitHub-tárát egy kínai vállalat, a Funnull vásárolta meg 2024 februárjában. Ez az incidens komoly intézkedéseket eredményezett az érdekeltek részéről, például a Google blokkolta a veszélyes domaint beágyazó oldalak hirdetését, a Namecheap felfüggesztette a domaint, a Cloudflare pedig biztonságos tüköroldalakra vezető domainekkel helyettesítette a Polyfill linkeket.

A felszámolásra tett intézkedésekre válaszul a támadók megpróbálták újraindítani a szolgáltatást egy másik domain, a polyfill[.]com alatt, amelyet a Namecheap 2024. június 28-án szintén letiltott. Július eleje óta további, valószínűleg kapcsolódó domaineket nyitottak meg. Ezek a domainnevek vélhetően egy szélesebb körű, a Polyfill karbantartóihoz kapcsolódó rosszindulatú kampányhoz kapcsolódnak. Fontos megjegyezni, hogy ezeket a domaineket a jövőben hasonló rosszindulatú tevékenységre használják fel. Ennek eredményeképpen a Patchstack, a WordPress biztonságával foglalkozó vállalat figyelmeztetést adott ki a kockázatokra való tekintettel, miszerint több hiteles bővítmény is kapcsolódhat valamilyen módon a csaláshoz, és ezek a csaló domainre hivatkoznak.

(forrás)

You May Also Like

Kritikus WordPress Exploit fenyegeti az Admin hitelesítés biztonságát

Yanac

WordPress LayerSlider sérülékenység

Yanac

WordPress kihasználása

Geronimo