Um ataque de supply chain está comprometendo mais de cem mil sites na internet com Javascript contaminado. A contaminação está no projeto Polyfill JS e foi descoberta pela equipe forense da Sansec na biblioteca Polyfill JS. A biblioteca é amplamente usada para oferecer suporte a navegadores mais antigos. A contaminação apareceu depois que uma empresa chinesa adquiriu o domínio e a conta GitHub associada ao Polyfill em fevereiro de 2024. Desde a aquisição, o domínio, cdn.polyfill.io, tem sido usado para distribuir malware a qualquer site que incorpore a biblioteca. Usuários importantes do Polyfill incluem JSTOR, Intuit e o Fórum Econômico Mundial.
Veja isso
Fornecedores de governo são alvos em supply chain
Gigantes vão financiar segurança de software livre de supply chain
A análise da Sansec revelou que o código malicioso, gerado dinamicamente com base em cabeçalhos HTTP, tem como alvo específico usuários móveis. Uma cepa específica do malware redireciona os usuários para um domínio falso do Google Analytics (www.googie-anaiytics.com), que por sua vez os direciona para um site de apostas esportivas. O malware inclui vários recursos sofisticados para evitar a detecção, como, por exemplo, ativação apenas em dispositivos móveis específicos, em horários específicos, e desativação na presença de usuários administrativos ou serviços de análise da web.
A equipe da Sansec descobriu isso decodificando uma amostra do malware. O código inclui proteções contra engenharia reversa e retarda sua própria execução para evitar ser detectado por serviços de análise da web. Isso garante que ele não apareça nas estatísticas do site, dificultando o rastreamento da origem da infecção.
Detalhes do comportamento do malware:
- O malware verifica se o usuário está em um dispositivo móvel.
- Os usuários móveis são redirecionados para um site de apostas esportivas usando um domínio falso do Google Analytics.
- O código é ativado apenas em horários específicos para evitar detecção e análise.
- O malware é desativado quando um usuário administrador é detectado ou quando determinados serviços de análise da web são encontrados.
Impacto e recomendações
O autor original do Polyfill recomendou descontinuar seu uso, observando que navegadores modernos não exigem mais esse tipo de biblioteca. Para aqueles que ainda precisam da funcionalidade do Polyfill, existem alternativas confiáveis da Fastly e da Cloudflare. A Sansec recomenda o uso de seu serviço gratuito de monitoramento de Política de Segurança de Conteúdo (CSP), Sansec Watch, para obter visibilidade do código que os usuários estão carregando. Além disso, o scanner backend eComscan foi atualizado para detectar instâncias da biblioteca Polyfill comprometida.
Indicadores de Compromisso (IoCs)
- Redirecionar URL L: https://kuurza.com/redirect?from=bitget
- Cripto malicioso : https://www.googie-anaiytics.com/html/checkcachehw.js
- Google Analytics falso : https://www.googie-anaiytics.com/ga.js