Bağlamda: Polyfill’ler, eski web tarayıcılarında çağdaş özellikler sağlayan JavaScript kod parçacıklarıdır. Çoklu doldurmalarda hiçbir sorun yoktur, ancak kötü niyetli kişiler ve siber suçlular, yasal web sitelerini ziyaretçilere yönelik tehditlere dönüştürmek için bunları kolayca kötüye kullanabilirler.
Başlangıçta üçüncü taraf geliştiricilere JS çoklu dolguları sunmaya yönelik açık kaynaklı bir proje olarak geliştirilen polyfill.io alanı, artık tehlikeli bir internet tehdidi haline geldi. Bu haftanın başlarında güvenlik analistleri, Funnull adlı gizemli bir Çinli kuruluşun, web sitelerine kötü amaçlı kodlar enjekte etmek için alan adını kötüye kullandığını keşfetti.
Funnull, Çinli siber suçlular tarafından işletildiğine inanılan bir içerik dağıtım ağı (CDN) sağlayıcısı olmasına rağmen şirketle ilgili ayrıntıların çoğunlukla uydurma veya saçma olduğu ortaya çıktı. 100.000’den fazla web sitesi, kodlarını eski tarayıcılarla daha uyumlu hale getirmek için polyfills.io’yu kullanıyor. Funnul’un klasik, web tabanlı bir tedarik zinciri saldırısında bu siteleri hedef aldığı iddia ediliyor.
Dünya Ekonomik Forumu, Intuit ve Jstor dahil birçok popüler web sitesi cdn.polyfill.io alan adını kullanır. Etkilenen sitelerden birini ziyaret eden herkes, etki alanına enjekte edilen kötü amaçlı çoklu doldurma kodunu yaymak ve çalıştırmak için tarayıcılarını kullandığından Funnul’un cezai operasyonunun kurbanı olabilir.
Web siteniz https://t.co/3xHecLPXkB kullanıyorsa HEMEN kaldırın.
Polyfill hizmet projesini oluşturdum ancak alan adının hiçbir zaman sahibi olmadım ve satışı üzerinde hiçbir etkim olmadı. https://t.co/GYt3dhr5fI
– Andrew Betts (@triblondon) 25 Şubat 2024
Funnull, Şubat ayında polyfill.io’yu satın aldığında, projenin orijinal geliştiricisi Andrew Betts, hala alan adını kullanan herhangi bir web sitesinin onu “hemen” kaldırması gerektiğini söyledi. Betts, polyfill hizmetini ilgili alanın sahibi olmadan oluşturdu, dolayısıyla satışı üzerinde hiçbir kontrolü yoktu. Çinli suçlular (veya muhtemelen devlet tehdit aktörleri) artık web şirketlerine hala bazı değerli işlevler sağlayabilecek bir projeyi kötüye kullanmaya başladı.
Cloudflare gibi en popüler CDN sağlayıcıları, orijinal polyfill.io hizmetinin çatallarını zaten oluşturarak kullanıcılara ve web geliştiricilerine geriye dönük uyumluluk çabaları için çok daha güvenli bir seçim sunuyor. Bu arada Google, reklam ortaklarını polyfill.io, bootcss.com ve diğerleri de dahil olmak üzere “belirli üçüncü taraf kitaplıkların”, ziyaretçileri amaçlanan web hedefinden uzaklaştırmak için kötüye kullanılabileceği konusunda uyardı.
Google Ads artık orijinal polyfill.io alan adını kullanan web sitelerinde engelleniyor; güvenlik analistleri ise geliştiricilere, alan adının herhangi bir şekilde kullanılıp kullanılmadığını kontrol etmeleri ve bu kodu kaldırmaları yönünde çağrıda bulunuyor. Kötü amaçlı scriptlerle ilgili şikayetler almaya başlayan Polyfill.io GitHub deposu şu anda halka açık değil.