SD 徽 步的分析和发现 标
由 Source Defense 于
6.27.24 发布 – 初步调查结果（进一步研究将包括更新的日期戳）

在过去的 48 小时内，网络安全社区一直在报道一起涉及广泛使用的 JavaScript CDN 服务Polyfill[.]io 的重大事件 。Sansec 的首批报告指出，该事件可能影响全球 10 万个网站。Cloudflare 的进一步报告表明，影响范围可能比这大十倍甚至更多。初步报告警告称，该服务被发现将毫无戒心的网站访问者重定向到不受欢迎的、潜在的恶意网站。进一步的研究表明，该域名被发现提供恶意软件，而 Source Defense 进行的研究也支持这一更令人担忧的现实。虽然这个域名已经被关闭，但域名所有者已经建立了一个新域名，并声称研究和报道不准确/具有诽谤性。要小心！

了解 Polyfill 项目和 Polyfill[.]io 事件

与许多开源 whatsapp 号码数据 项目一样，Polyfill 旨在为社区提供一种改善互联网体验的工具。作为一项合法服务，它允许开发人员使用最新的 Web 功能，同时确保与旧版浏览器的兼容性。由于许多旧版浏览器不支持现代网络功能，此 JavaScript 可检测这些浏览器并自动添加必要的代码以启用高级功能。

简单且相当标准的做法 – 网站所有者和/或其合作伙伴使用第三方（即第三方调用第四方）来提供大量所需功能以丰富网络体验。

Polyfill[.]io 与合法的 Polyfill 项目无关。这一事实在今年 2 月就已向社区发出警告……但与安全领域的许多事情一样，这一消息并未得到应有的传播。

事件

今年 2 月 25 日，该项 选择外包营销机构时要注意什么 目的合法作者 Andrew Betts 指出，相关域名既非法，又具有潜在危害。以下是 Andrew 在其 X 帐户中的原话：大约四个月后，我们收到消息称该域名正在进行恶意重定向，投放恶意软件，并且根据我们的发现，还窃取数据。

Source Defense 的观察

Polyfill.io 事件清楚地提醒了 广告库 我们数字供应链中固有的漏洞。在 Source Defense，我们专注于通过实时监控和保护来保护第一方和外部方（第三方、第四方、第 n 方）脚本，原因就在于此。来自开源存储库的代码是所有类型对手的目标。第三方、第四方和第 n 方脚本（其中许多是动态的）无法审查，必须有某种形式的控制机制。