No contexto: Polyfills são trechos de código JavaScript que fornecem recursos modernos em navegadores mais antigos. Não há nada de errado com os polyfills em si, mas criminosos e cibercriminosos podem facilmente abusar deles para transformar sites legítimos em ameaças contra visitantes.
Originalmente desenvolvido como um projeto de código aberto para oferecer polyfills JS a desenvolvedores terceirizados, o domínio polyfill.io é agora uma ameaça perigosa da Internet. No início desta semana, analistas de segurança descobriram que uma misteriosa entidade chinesa chamada Funnull está abusando do domínio para injetar código malicioso em sites.
Funnull é um provedor de rede de distribuição de conteúdo (CDN) que se acredita ser operado por cibercriminosos chineses, embora os detalhes sobre a empresa tenham se revelado em sua maioria inventados ou sem sentido. Mais de 100.000 sites usam polyfills.io para tornar seu código mais compatível com navegadores mais antigos. Funnul supostamente tem como alvo esses sites em um ataque clássico à cadeia de suprimentos baseado na web.
Muitos sites populares, incluindo o Fórum Econômico Mundial, Intuit e Jstor, usam o domínio cdn.polyfill.io. Qualquer pessoa que visite um dos sites afetados pode se tornar vítima da operação criminosa do Funnul, pois ele usa seu navegador para espalhar e executar o código malicioso polyfill injetado no domínio.
Se o seu site usa https://t.co/3xHecLPXkB, remova-o IMEDIATAMENTE.
Criei o projeto de serviço polyfill, mas nunca fui proprietário do nome de domínio e não tive influência sobre sua venda. https://t.co/GYt3dhr5fI
– Andrew Betts (@triblondon) 25 de fevereiro de 2024
Quando Funnull comprou o polyfill.io em fevereiro, o desenvolvedor original do projeto, Andrew Betts, disse que qualquer site que ainda usasse o domínio deveria removê-lo “imediatamente”. Betts criou o serviço polyfill sem possuir o domínio correspondente, portanto não tinha controle sobre sua venda. Criminosos chineses (ou possivelmente atores de ameaças estatais) começaram agora a abusar de um projeto que ainda poderia fornecer algumas funcionalidades valiosas para empresas da web.
Os provedores de CDN mais populares, como o Cloudflare, já criaram forks do serviço original polyfill.io, fornecendo aos usuários e desenvolvedores web uma escolha muito mais segura para seus esforços de compatibilidade com versões anteriores. Enquanto isso, o Google alertou seus parceiros de publicidade que “bibliotecas específicas de terceiros”, incluindo polyfill.io, bootcss.com e outras, poderiam ser abusadas para redirecionar visitantes para longe de seu destino web pretendido.
Os anúncios do Google agora estão bloqueados em sites que ainda usam o domínio polyfill.io original, enquanto os analistas de segurança estão pedindo aos desenvolvedores que verifiquem seu código para qualquer uso do domínio e o removam. O repositório Polyfill.io GitHub, que começou a receber reclamações sobre scripts maliciosos, está atualmente indisponível ao público.
