Un cordon sanitaire mondial a été construit autour de la prétendue menace chinoise
Dans le contexte: Les polyfills sont des extraits de code JavaScript qui offrent des fonctionnalités modernes sur les anciens navigateurs Web. Il n'y a rien de mal avec les polyfills en soi, mais les mécréants et les cybercriminels peuvent facilement en abuser pour transformer des sites Web légitimes en menaces contre les visiteurs.
Développé à l'origine comme un projet open source pour proposer des polyfills JS à des développeurs tiers, le domaine polyfill.io est désormais une menace Internet dangereuse. Plus tôt cette semaine, des analystes de sécurité ont découvert qu'une mystérieuse entité chinoise nommée Funnull utilise le domaine pour injecter du code malveillant dans des sites Web.
Funnull est un fournisseur de réseau de distribution de contenu (CDN) qui serait exploité par des cybercriminels chinois, bien que les détails sur l'entreprise se soient révélés pour la plupart inventés ou absurdes. Plus de 100 000 sites Web utilisent polyfills.io pour rendre leur code plus compatible avec les anciens navigateurs. Funnul aurait ciblé ces sites dans le cadre d'une attaque classique de la chaîne d'approvisionnement basée sur le Web.
De nombreux sites Web populaires, notamment le Forum économique mondial, Intuit et Jstor, utilisent le domaine cdn.polyfill.io. Toute personne visitant l'un des sites concernés peut devenir victime de l'opération criminelle de Funnul, car celui-ci utilise son navigateur pour diffuser et exécuter le code polyfill malveillant injecté dans le domaine.
Si votre site Web utilise https://t.co/3xHecLPXkB, supprimez-le IMMÉDIATEMENT.
J'ai créé le projet de service polyfill mais je n'ai jamais possédé le nom de domaine et je n'ai eu aucune influence sur sa vente. https://t.co/GYt3dhr5fI
– Andrew Betts (@triblondon) 25 février 2024
Lorsque Funnull a acheté polyfill.io en février, le développeur original du projet, Andrew Betts, a déclaré que tout site Web utilisant encore le domaine devait le supprimer « immédiatement ». Betts a créé le service polyfill sans posséder le domaine correspondant, il n'avait donc aucun contrôle sur sa vente. Les criminels chinois (ou peut-être les acteurs étatiques) ont maintenant commencé à abuser d'un projet qui pourrait encore fournir des fonctionnalités précieuses aux sociétés Web.
Les fournisseurs de CDN les plus populaires, comme Cloudflare, ont déjà créé des forks du service original polyfill.io, offrant aux utilisateurs et aux développeurs Web un choix beaucoup plus sûr pour leurs efforts de compatibilité ascendante. Pendant ce temps, Google a averti ses partenaires publicitaires que des « bibliothèques tierces spécifiques », notamment polyfill.io, bootcss.com et d'autres, pourraient être utilisées à mauvais escient pour rediriger les visiteurs hors de leur destination Web prévue.
Les annonces Google sont désormais bloquées sur les sites Web qui utilisent toujours le domaine polyfill.io d'origine, tandis que les analystes de sécurité exhortent les développeurs à vérifier leur code pour toute utilisation du domaine et à le supprimer. Le dépôt GitHub Polyfill.io, qui a commencé à recevoir des plaintes concernant des scripts malveillants, n'est actuellement pas accessible au public.