Supplychain-aanval op Polyfill.js treft 110.000 websites
Een groot aantal websites die gebruik maken van de opensource-library Polyfill.js zijn doelwit van een supplychain-aanval. Kwaadwillenden hebben via Polyfill.js malware geïnjecteerd in de websites. Naar schatting zijn zeker 110.000 websites getroffen.
Hiervoor waarschuwt onder meer de beveiligingsbedrijven C/side en Sansec. Polyfill.js is een opensource-library waarmee beheerders allerlei moderne functionaliteiten op verouderde webbrowsers kunnen aanbieden. Zo maakt de library het mogelijk API's te gebruiken, ongeacht of deze door de webbrowser die de gebruiker kiest wordt ondersteunt.
Overgenomen door Chinese partij
C/side en Sansec waarschuwen dat de domeinnaam Polyfill.io en het GitHub-account van de partij begin dit jaar door een Chinees bedrijf zijn overgenomen. De partijen wijzen erop dat het domein sindsdien malware injecteert op mobiele apparaten die gebruikmaken van cdn.polyfill.io voor het inladen van Polyfill.js-bestanden. Zij roepen websitebeheerders op het domein per direct te verwijderen van hun website. Wel kunnen beheerders de opensource-library veilig zelf hosten; het project zelf is niet getroffen.
Google heeft al stappen genomen en blokkeert advertenties van e-commercewebsites die gebruik maken van Polyfill.io. Ook de originele maker van Polyfill - Andrew Betts - roept op X op de library direct te verwijderen.
If your website uses https://t.co/3xHecLPXkB, remove it IMMEDIATELY.
— Andrew Betts (@triblondon) February 25, 2024
I created the polyfill service project but I have never owned the domain name and I have had no influence over its sale. https://t.co/GYt3dhr5fI
Dutch IT events
Alle events
Meer over Security
Over Wouter Hoeffnagel
