De supply chain-aanval gericht op de veelgebruikte JavaScript-bibliotheek Polyfill(.)io heeft een grotere reikwijdte dan eerder werd gedacht. Nieuwe bevindingen van Censys laten zien dat er vanaf 2 juli 2024 meer dan 380.000 hosts een polyfill-script insluiten dat linkt naar het schadelijke domein.
Volgens het bedrijf dat zich bezighoudt met het beheer van aanvalsoppervlakken, wordt er in de HTTP-reacties verwezen naar “https://cdn.polyfill(.)io” of “https://cdn.polyfill(.)com”.
“Ongeveer 237.700 bevinden zich binnen het Hetzner-netwerk (AS24940), voornamelijk in Duitsland,” merkte het op. “Dit is niet verrassend – Hetzner is een populaire webhostingservice en veel websiteontwikkelaars maken er gebruik van.”
Uit verdere analyse van de getroffen hosts is gebleken dat er domeinen zijn gekoppeld aan bekende bedrijven zoals WarnerBros, Hulu, Mercedes-Benz en Pearson die verwijzen naar het betreffende schadelijke eindpunt.
Details van de aanval kwamen eind juni 2024 naar buiten toen Sansec waarschuwde dat code die op het Polyfill-domein werd gehost, was aangepast om gebruikers om te leiden naar websites met een volwassen- en gokthema. De codewijzigingen werden zodanig doorgevoerd dat de omleidingen alleen op bepaalde tijden van de dag plaatsvonden en alleen tegen bezoekers die aan bepaalde criteria voldeden.
Het kwaadaardige gedrag zou zijn ontstaan nadat het domein en de bijbehorende GitHub-repository in februari 2024 werden verkocht aan een Chinees bedrijf genaamd Funnull.
Deze ontwikkeling heeft ertoe geleid dat domeinregistrator Namecheap het domein heeft opgeschort, dat content delivery networks zoals Cloudflare automatisch Polyfill-links hebben vervangen door domeinen die naar alternatieve veilige mirrorsites leiden, en dat Google advertenties heeft geblokkeerd voor sites die het domein integreren.
Terwijl de operators probeerden de dienst opnieuw te lanceren onder een ander domein genaamd polyfill(.)com, werd deze ook door Namecheap verwijderd op 28 juni 2024. Van de twee andere domeinen die ze sinds begin juli hebben geregistreerd – polyfill(.)site en polyfillcache(.)com – is de laatste nog steeds actief.
Bovendien is een uitgebreider netwerk van mogelijk gerelateerde domeinen ontdekt, waaronder bootcdn(.)net, bootcss(.)com, staticfile(.)net, staticfile(.)org, unionadjs(.)com, xhsbpza(.)com, union.macoms(.)la en newcrbpc(.)com, die gekoppeld zijn aan de beheerders van Polyfill. Dit geeft aan dat het incident mogelijk deel uitmaakt van een bredere kwaadaardige campagne.
“Eén van deze domeinen, bootcss(.)com, is waargenomen bij kwaadaardige activiteiten die sterk lijken op de polyfill(.)io-aanval. Er zijn bewijzen die teruggaan tot juni 2023”, aldus Censys. Er zijn 1,6 miljoen openbare hosts ontdekt die linken naar deze verdachte domeinen.
“Het zou niet geheel onredelijk zijn om te bedenken dat dezelfde kwaadwillende partij die verantwoordelijk is voor de polyfill.io-aanval, in de toekomst ook deze andere domeinen voor soortgelijke activiteiten zou kunnen misbruiken.”
De ontwikkeling volgt op een waarschuwing van WordPress-beveiligingsbedrijf Patchstack voor de risico’s van de Polyfill-aanval op de toeleveringsketen op websites waarop het contentmanagementsysteem (CMS) draait, via tientallen legitieme plug-ins die linken naar het frauduleuze domein.
