SD 徽 步的分析和发现 标
由 Source Defense 于
6.27.24 发布 – 初步调查结果(进一步研究将包括更新的日期戳)
在过去的 48 小时内,网络安全社区一直在报道一起涉及广泛使用的 JavaScript CDN 服务Polyfill[.]io 的重大事件 。Sansec 的首批报告指出,该事件可能影响全球 10 万个网站。Cloudflare 的进一步报告表明,影响范围可能比这大十倍甚至更多。初步报告警告称,该服务被发现将毫无戒心的网站访问者重定向到不受欢迎的、潜在的恶意网站。进一步的研究表明,该域名被发现提供恶意软件,而 Source Defense 进行的研究也支持这一更令人担忧的现实。虽然这个域名已经被关闭,但域名所有者已经建立了一个新域名,并声称研究和报道不准确/具有诽谤性。要小心!
了解 Polyfill 项目和 Polyfill[.]io 事件
与许多开源 whatsapp 号码数据 项目一样,Polyfill 旨在为社区提供一种改善互联网体验的工具。作为一项合法服务,它允许开发人员使用最新的 Web 功能,同时确保与旧版浏览器的兼容性。由于许多旧版浏览器不支持现代网络功能,此 JavaScript 可检测这些浏览器并自动添加必要的代码以启用高级功能。
简单且相当标准的做法 – 网站所有者和/或其合作伙伴使用第三方(即第三方调用第四方)来提供大量所需功能以丰富网络体验。
Polyfill[.]io 与合法的 Polyfill 项目无关。这一事实在今年 2 月就已向社区发出警告……但与安全领域的许多事情一样,这一消息并未得到应有的传播。
事件
今年 2 月 25 日,该项 选择外包营销机构时要注意什么 目的合法作者 Andrew Betts 指出,相关域名既非法,又具有潜在危害。以下是 Andrew 在其 X 帐户中的原话:大约四个月后,我们收到消息称该域名正在进行恶意重定向,投放恶意软件,并且根据我们的发现,还窃取数据。
Source Defense 的观察
Polyfill.io 事件清楚地提醒了 广告库 我们数字供应链中固有的漏洞。在 Source Defense,我们专注于通过实时监控和保护来保护第一方和外部方(第三方、第四方、第 n 方)脚本,原因就在于此。来自开源存储库的代码是所有类型对手的目标。第三方、第四方和第 n 方脚本(其中许多是动态的)无法审查,必须有某种形式的控制机制。