Ataque a la Cadena de Suministro de Polyfill.io Afecta a Más de 100,000 Sitios

El 25 de junio de 2024, se reportó que más de 100,000 sitios web fueron afectados por un ataque a la cadena de suministro a través del servicio Polyfill.io. Este incidente se produjo después de que una empresa china adquiriera el dominio y modificara el script para redirigir a los usuarios a sitios maliciosos y de estafa.

Ataque a la Cadena de Suministro de Polyfill.io Afecta a Más de 100,000 Sitios
¿Qué es un Polyfill?

Un polyfill es un código, como JavaScript, que agrega funcionalidades modernas a navegadores antiguos que normalmente no las soportan. Esto permite que todos los visitantes de un sitio web utilicen la misma base de código, independientemente de las capacidades de sus navegadores.

Adquisición y Modificación del Servicio Polyfill.io

Polyfill.io es utilizado por cientos de miles de sitios para garantizar compatibilidad con navegadores más antiguos. A principios de este año, una empresa china llamada ‘Funnull’ compró el dominio y la cuenta de GitHub asociada. Desde entonces, el dominio comenzó a inyectar malware en dispositivos móviles a través de cualquier sitio que incorporara el script de cdn.polyfill.io.

En ese momento, el desarrollador original del proyecto Polyfill.io advirtió que nunca fue propietario del sitio polyfill.io y recomendó a todos los sitios web que lo eliminaran de inmediato para reducir el riesgo de un ataque a la cadena de suministro. Servicios como Cloudflare y Fastly crearon espejos confiables del servicio Polyfill.io para que los sitios web pudieran utilizar servicios seguros.

Ataque a la Cadena de Suministro de Polyfill.io Afecta a Más de 100,000 Sitios
Efectos del Ataque

El script modificado por los nuevos propietarios estaba diseñado para redirigir a los visitantes a sitios no deseados, como sitios falsos de apuestas deportivas. Este comportamiento se logró a través de dominios falsos de Google Analytics (www.googie-anaiytics.com) o redirecciones como kuurza.com/redirect?from=bitget.

Ataque a la Cadena de Suministro de Polyfill.io Afecta a Más de 100,000 Sitios

Sansec, mencionó que el script modificado tiene protecciones específicas contra la ingeniería inversa y solo se activa en dispositivos móviles específicos en momentos específicos, además de desactivarse cuando detecta usuarios administradores.

Medidas Tomadas

Actualmente, el dominio cdn.polyfill.io ha sido redirigido misteriosamente a Cloudflare, aunque los servidores DNS del dominio permanecen sin cambios, lo que permite a los propietarios cambiarlo nuevamente a sus propios dominios en cualquier momento.

Para ayudar a los desarrolladores web, la empresa de ciberseguridad Leak Signal creó el sitio Polykill.io, que permite buscar sitios que usan cdn.polyfill.io y proporciona información sobre cómo cambiar a alternativas seguras.

Advertencias de Google

Google ha comenzado a notificar a los anunciantes sobre este ataque, advirtiéndoles que sus páginas de destino incluyen el código malicioso y podrían redirigir a los visitantes sin el conocimiento o permiso del propietario del sitio. Además, Google advirtió que otros servicios como Bootcss, Bootcdn y Staticfile también están causando redirecciones no deseadas, afectando potencialmente a miles de sitios más.

Google ha informado que, si encuentran estas redirecciones durante las revisiones regulares de los destinos de los anuncios, desaprobarán los anuncios relacionados.

Ataque a la Cadena de Suministro de Polyfill.io Afecta a Más de 100,000 Sitios
Conclusión

Este incidente subraya la importancia de la vigilancia continua y la gestión proactiva de los servicios y scripts de terceros utilizados en sitios web. Es crucial que las empresas e instituciones revisen y actualicen regularmente sus dependencias para protegerse contra posibles ataques a la cadena de suministro.

Indicadores de Compromiso
Related Posts
Clear Filters

Recientemente, un actor de amenazas en un foro clandestino ha publicado un supuesto filtrado de datos. Este incidente fue revelado…

Devel Group
Privacy Preferences
When you visit our website, it may store information through your browser from specific services, usually in form of cookies. Here you can change your privacy preferences. Please note that blocking some types of cookies may impact your experience on our website and the services we offer.