El 25 de junio de 2024, se reportó que más de 100,000 sitios web fueron afectados por un ataque a la cadena de suministro a través del servicio Polyfill.io. Este incidente se produjo después de que una empresa china adquiriera el dominio y modificara el script para redirigir a los usuarios a sitios maliciosos y de estafa.
¿Qué es un Polyfill?
Un polyfill es un código, como JavaScript, que agrega funcionalidades modernas a navegadores antiguos que normalmente no las soportan. Esto permite que todos los visitantes de un sitio web utilicen la misma base de código, independientemente de las capacidades de sus navegadores.
Adquisición y Modificación del Servicio Polyfill.io
Polyfill.io es utilizado por cientos de miles de sitios para garantizar compatibilidad con navegadores más antiguos. A principios de este año, una empresa china llamada ‘Funnull’ compró el dominio y la cuenta de GitHub asociada. Desde entonces, el dominio comenzó a inyectar malware en dispositivos móviles a través de cualquier sitio que incorporara el script de cdn.polyfill.io.
En ese momento, el desarrollador original del proyecto Polyfill.io advirtió que nunca fue propietario del sitio polyfill.io y recomendó a todos los sitios web que lo eliminaran de inmediato para reducir el riesgo de un ataque a la cadena de suministro. Servicios como Cloudflare y Fastly crearon espejos confiables del servicio Polyfill.io para que los sitios web pudieran utilizar servicios seguros.
Efectos del Ataque
El script modificado por los nuevos propietarios estaba diseñado para redirigir a los visitantes a sitios no deseados, como sitios falsos de apuestas deportivas. Este comportamiento se logró a través de dominios falsos de Google Analytics (www.googie-anaiytics.com) o redirecciones como kuurza.com/redirect?from=bitget.
Sansec, mencionó que el script modificado tiene protecciones específicas contra la ingeniería inversa y solo se activa en dispositivos móviles específicos en momentos específicos, además de desactivarse cuando detecta usuarios administradores.
Medidas Tomadas
Actualmente, el dominio cdn.polyfill.io ha sido redirigido misteriosamente a Cloudflare, aunque los servidores DNS del dominio permanecen sin cambios, lo que permite a los propietarios cambiarlo nuevamente a sus propios dominios en cualquier momento.
Para ayudar a los desarrolladores web, la empresa de ciberseguridad Leak Signal creó el sitio Polykill.io, que permite buscar sitios que usan cdn.polyfill.io y proporciona información sobre cómo cambiar a alternativas seguras.
Advertencias de Google
Google ha comenzado a notificar a los anunciantes sobre este ataque, advirtiéndoles que sus páginas de destino incluyen el código malicioso y podrían redirigir a los visitantes sin el conocimiento o permiso del propietario del sitio. Además, Google advirtió que otros servicios como Bootcss, Bootcdn y Staticfile también están causando redirecciones no deseadas, afectando potencialmente a miles de sitios más.
Google ha informado que, si encuentran estas redirecciones durante las revisiones regulares de los destinos de los anuncios, desaprobarán los anuncios relacionados.
Conclusión
Este incidente subraya la importancia de la vigilancia continua y la gestión proactiva de los servicios y scripts de terceros utilizados en sitios web. Es crucial que las empresas e instituciones revisen y actualicen regularmente sus dependencias para protegerse contra posibles ataques a la cadena de suministro.