Attacco alla catena di fornitura: Polyfill.io corrotto
Sventurato protagonista di questo esempio da manuale di attacco alla supply chain è il celebre progetto Polyfill.io, rilevato a febbraio 2024 da una società cinese.
Un polyfill è un pezzo di codice, solitamente JavaScript, che aggiunge funzionalità moderne a browser più vecchi che nativamente non le supportano.
Recentemente, ad opera di vari ricercatori tra cui SANSEC, è stato riscontrato che il dominio associato al servizio, cdn.polyfill.io, sia stato compromesso, permettendo l’injection di codice malevolo per reindirizzare gli utenti a siti fraudolenti e catturare dati sensibili.
Da maggio 2024, circa 100.000 siti web che si basano sul codice JavaScript ospitato da Polyfill.io sono stati colpiti da un attacco mirato dopo che la società cinese che ha acquisito il dominio sembrerebbe aver modificato il codice per reindirizzare i visitatori del sito web a siti dannosi.
La stessa Cert-Agid italiana invita le Pubblche Amministrazione che impieghino sui loro siti il servizio Polyfill.io a rimuoverlo al più presto.
Namecheap, gestore del dominio compromesso, ha già preso provvedimenti sospendendo e bonificando il dominio. Tuttavia, oltre a eliminare il servizio Polyfill.io, è fondamentale aggiornare anche le dipendenze sui siti che facevano riferimento al dominio originale, poiché attualmente i servizi di Polyfill.io non sono più disponibili, il che potrebbe causare malfunzionamenti.
Nel febbraio di quest’anno, un’azienda cinese aveva acquistato il dominio e l’account GitHub di Polyfill.io.
Da allora, secondo i ricercatori, il dominio è stato utilizzato per iniettare malware sui dispositivi mobili tramite i siti che incorporavano i file di cdn.polyfill.io.
Eventuali reclami sono stati rapidamente rimossi dal repository GitHub e negato ogni coinvolgimento dal nuovo proprietario.
Il codice polyfill viene generato dinamicamente in base alle intestazioni HTTP, aprendo così più vettori di attacco.
Sansec ha decodificato un particolare malware che reindirizza gli utenti mobili a un sito di scommesse sportive utilizzando un falso dominio di Google Analytics ( googie-anaiytics ).
Questo codice ha una protezione specifica contro il reverse engineering, attivandosi solo su dispositivi mobili specifici in orari particolari e non quando rileva un utente amministratore.
Inoltre, ritarda l’esecuzione quando trova un servizio di analisi web, probabilmente per evitare di essere rilevato nelle statistiche.
L’autore originale di Polyfill consiglia di non usare più Polyfill, poiché non è più necessario per i browser moderni.
Nel frattempo, sia Fastly che Cloudflare hanno messo a punto delle alternative affidabili per chi ne avesse ancora bisogno.
Comunicato cert-Agid:
https://www.agid.gov.it/it/notizie/polyfillio-il-cert-agid-consiglia-alle-pa-che-lo-utilizzano-sui-loro-siti-di-rimuoverlo
IoC e Ricerca Sansec:
https://sansec.io/research/polyfill-supply-chain-attack
Comunicato Github vendita Polyfill – febbraio 2024
https://github.com/formatjs/formatjs/issues/4363
