Böswillige Akteure nutzen den beliebten Dienst Polyfill.io aus, um groß angelegte Bounce-Angriffe durchzuführen, indem sie die Lieferkette der Software ausnutzen.
In einem am Dienstag veröffentlichten Blogbeitrag enthüllten Forscher des niederländischen Cybersicherheitsunternehmens Sansec eine massive Kampagne zur Kompromittierung der Software-Lieferkette, an der Polyfill.io, ein weit verbreiteter JavaScript-Bibliotheksdienst, beteiligt war. Sansec entdeckte, dass böswillige Akteure bösartige Polyfill-Payloads in mehr als 100.000 Websites eingeschleust hatten. Die Forscher beobachteten zunächst Aktivitäten ab Februar, nachdem Funnull, ein chinesisches Unternehmen, die Polyfill.io-Domain und das GitHub-Konto erworben hatte.
Sansec weist darauf hin, dass die Domain über jede Website, die sie über die Domain cdn.polyfill.io integriert, Malware in mobile Geräte eingeschleust hat. Obwohl die Open-Source-Bibliothek zur Unterstützung älterer Browser verwendet wird, ist das potenzielle Ausmaß des Angriffs erheblich. SanSec schätzt, dass mehr als 100.000 Websites, darunter Intuit und das Weltwirtschaftsforum, Polyfill verwenden.
Die Manipulation von GitHub-Funktionen und -Konten zur Durchführung von Software-Supply-Chain-Compromise-Angriffen ist im Jahr 2024 ein wachsender Trend.
„Polyfill-Code wird dynamisch basierend auf HTTP-Headern generiert, daher sind mehrere Angriffsvektoren wahrscheinlich“, sagt Sansec in seinem Blog.
Forscher untersuchten einen Vorfall, bei dem Polyfill in böswilliger Absicht verwendet wurde, um mobile Benutzer mithilfe einer gefälschten Google Analytics-Domain auf eine Sportwetten-Website umzuleiten. Sansec warnte, dass der Code mit Reverse-Engineering-Schutz geschrieben und nur auf bestimmten Geräten und zu bestimmten Zeiten aktiviert wurde. Noch besorgniserregender ist, dass der Code nicht aktiviert wurde, als er einen Administratorbenutzer erkannte, und die Ausführung verzögerte, wenn ein Webanalysedienst gefunden wurde.
„Der ursprüngliche Autor von Polyfill empfiehlt, es überhaupt nicht zu verwenden, da moderne Browser es ohnehin nicht mehr benötigen“, bemerkt Sansec.
Sansec hat am Mittwoch seinen Blog aktualisiert und darauf hingewiesen, dass das Unternehmen seit der Veröffentlichung seiner Studie auf Polyfill.io DDoS-Angriffen ausgesetzt war. Darüber hinaus stellten die Forscher fest, dass Namecheap den Domainnamen gesperrt hatte, wodurch „das Risiko vorerst beseitigt ist“. Sie stellten zuvor fest, dass Funnull mehrere Backup-Domainnamen für Polyfill.io bei Namecheap und anderen Domainnamen-Registraren registriert hatte.
Funnull veröffentlichte am Mittwoch eine Erklärung auf X, ehemals Twitter, in der er jegliche Beteiligung des Polyfill.io-Dienstes an böswilligen Aktivitäten widerlegte.
Identifizieren Sie die Bedrohung
Cloudflare gab am Mittwoch bekannt, dass es drastische Maßnahmen gegen Polyfill.io und Funnull ergriffen hat, die die Domain im Wesentlichen aus ihrem CDN entfernen. Wie SanSec und andere Anbieter beobachtete Cloudflare, dass böswillige Akteure den Dienst nutzten, um bösartigen JavaScript-Code in die Browser der Benutzer einzuschleusen. Forscher haben Benutzern aus vielen Gründen geraten, dem JavaScript-Bibliotheksdienst nicht zu vertrauen, einschließlich falscher Behauptungen über Cloudflare auf der Website Polyfill.io.
Cloudflare empfahl, den Dienst vollständig von Websites zu entfernen.
„Angesichts der Beliebtheit dieser Bibliothek stellt dies eine echte Bedrohung für das gesamte Internet dar“, schrieb Cloudflare in einem Blogbeitrag: „In den letzten 24 Stunden haben wir einen automatischen JavaScript-URL-Rewriting-Dienst implementiert, der jeden Link in Polyfill umschreibt.“ io auf einer Website gefunden Proxy von Cloudflare in einem Link zu unserem Mirror unter cdnjs. Dadurch wird eine Unterbrechung der Website-Funktionalität vermieden und gleichzeitig das Risiko eines Angriffs auf die Lieferkette verringert.“
Cloudflare fügte hinzu, dass die Funktion automatisch für jede Website aktiviert wird, die ihr kostenloses Kontingent nutzt. Im Februar erstellte Cloudflare einen eigenen Spiegel der Website Polyfill.io aufgrund des Verdachts auf den neuen Eigentümer der Domain, Funnull. Damals wies Cloudflare darauf hin, dass Funnull ein relativ unbekanntes Unternehmen sei, was Befürchtungen hinsichtlich der Integrität der Lieferkette auslöste.
„Der neue Eigentümer war in der Branche unbekannt und hatte nicht das Selbstvertrauen, ein Projekt wie polyfill.io zu verwalten. „Die Sorge, auf die sogar der ursprüngliche Autor hingewiesen hat, bestand darin, dass ein Missbrauch von polyfill.io durch das Einfügen von zusätzlichem Code in die Bibliothek zu weitreichenden Sicherheitsproblemen im gesamten Internet führen könnte, die mehrere Hunderttausend Websites betreffen könnten“, sagten wir kann man im Blogbeitrag nachlesen.
Auf der Spur des böswilligen Täters
Cloudflare fügte hinzu, dass seine Bedenken hinsichtlich Angriffen auf die Lieferkette am Dienstag Früchte trugen, als Polyfill.io-Benutzer auf bösartige Websites umgeleitet wurden. Der Blog weist darauf hin, dass Cloudflare die Domain aus Angst vor großflächigen Ausfällen nicht blockiert hat. Schätzungen von Cloudflare zufolge wird polyfill.io „auf fast 4 % aller Websites“ verwendet.
Der Cloud-Dienstleister Fastly hat vor der Übernahme von Funnull auch einen Spiegel von Polyfill.io erstellt und ähnliche Bedenken geäußert.
Weitere beteiligte Domainnamen wurden identifiziert: bootcss[.]com, bootcdn[.]net, statische Datei[.]org, aber auch staticfile[.]net, unionadjs[.]com, xhsbpza[.]com, union.macoms[.]the und newcrbpc[.]com. Der Link zwischen diesen Domänennamen ist eine Cloudflare-ID, die im GitHub-Repository des Buchladens zu finden ist.
Ein Sicherheitsforscher fand außerdem Hinweise darauf, dass es sich um eine Dating-Kampagne mit Ursprung im Juni 2023 handeln könnte.
