本週二(6月25日)專精電子商務網站安全的資安業者Sansec提出警告,知名的網站功能相容性程式庫polyfill.io,自今年2月賣給中國內容傳遞網路(CDN)業者方能(Funnuul)後,傳出被植入惡意程式碼的情況,導致使用該程式庫的網站遭到感染,用戶被導向賭博網站及其他惡意網站。
由於全球有超過10萬個網站採用這項程式庫,包含學術期刊線上網站Journal STORage(JSTOR)、世界經濟論壇等知名組織,亦有不少美國聯邦機構,這項供應鏈攻擊的影響範圍相當廣。針對這起事故,如今出現新的發展。
根據資安新聞網站Bleeping Computer的報導,他們發現Polyfill.io相關網域疑似遭到網域名稱服務供應商Namecheap註銷,但經營者透過新的網域polyfill[.]com,開始提供名為Polyfill JS CDN的服務,並認為有人在誹謗他們,強調他們所有的內容都是透過靜態快取提供,並透過雲端服務業者Cloudflare進行快取,而不存在供應鏈風險。
Someone has maliciously defamed us. We have no supply chain risks because all content is statically cached. Any involvement of third parties could introduce potential risks to your website,
but no one would do this as it would be jeopardize our own reputation.We have already…
— Polyfill (@Polyfill_Global) June 26, 2024
然而,代號為mdmck10的研究人員發現,polyfill[.]com網站內容,與專為NPM及GitHub用戶打造的開源CDN服務jsDelivr CDN網站雷同,幾乎像是複製貼上,甚至有部分保留了jsDelivr的名稱。而且,polyfill[.]com也同樣提供jsDelivr網站上的Globalping分析服務。
另一家資安業者Socket,針對此事公布更多來龍去脈;該公司執行長Feross Aboukhadijeh呼籲,若是有人採用了polyfill[.]com提供的CDN服務,應儘速移除。
針對polyfill.io聲稱所有內容經過Cloudflare快取,Cloudflare表示,他們並未授權該經營者使用該公司的名稱,也未曾推薦polyfill.io的服務,他們要求對方刪除相關內容,但polyfill.io置之不理。對此,Cloudflare認為,這是該服務經營者不可信任的警訊。
該公司也為旗下的網站用戶提供替代方案,免費用戶將自動啟用,付費用戶可選擇是否啟用,或是套用自己的替代做法。
值得留意的是,Google也開始對廣告廠商發出通報,指出他們發現來自polyfill.io、bootcss.com等網站的第三方程式庫存在資安問題,若是站方採用這類元件,這些程式庫有可能在站方不知情的情況下,將瀏覽網站的使用者擅自重新導向到特定網站。
熱門新聞
2024-05-02
2024-07-05
2024-04-30
2025-02-16
