Attacco alla supply chain di Polyfill JS: cosa è successo

Nell'ultimo periodo, i supply chain attack contro progetti open source sono in aumento. Questi attacchi mirano a infiltrarsi in uno o più anelli della catena distributiva di un software rispettato. L'obiettivo degli aggressori è alterare i componenti affidabili sfruttando la fiducia riposta in essi, per poi colpire un determinato gruppo di vittime. Dopo l'episodio della backdoor nelle XZ Utils, un nuovo caso coinvolge Polyfill JS, una libreria diffusa che colma le lacune di compatibilità nei browser, garantendo l'uso delle più recenti funzionalità JavaScript anche su software datati.

Indagini di Sansec su siti compromessi

Gli esperti di Sansec hanno scoperto che i siti web che utilizzano Polyfill JS hanno iniziato a distribuire codice malevolo. Il filo conduttore è un riferimento a un dominio simile a Google Analytics, con "l" sostituiti da "i" (googie-anaiytics). Il caricamento del codice ospitato su questo dominio porta al download di malware o all'apertura di pagine non desiderate. Sansec ha rilevato che il codice varia a seconda delle intestazioni HTTP, include protezioni contro il reverse engineering e si attiva solo su dispositivi mobili specifici in determinati orari. Tra le vittime celebri figurano il sito del World Economic Forum e JSTOR. Secondo PublicWWW, oltre 100.000 siti, utilizzano Polyfill JS, dimostrando la portata del problema che parrebbe coinvolgere anche il portale dell'Agenzia per l’Italia digitale (AgID).

Acquisizione del dominio Polyfill JS

Come ha fatto Polyfill JS a diventare un veicolo di attacco? Il dominio che ospitava il codice è stato acquisito da un soggetto cinese a febbraio 2024. Inizialmente, il contenuto legittimo è stato mantenuto, poi sostituito con codice maligno. Molti sviluppatori, per risparmiare banda e non sovraccaricare i server, richiamano URL remoti per componenti di terze parti. Questo fa sì che, se il codice esterno viene alterato, il sito Web inizi a erogare contenuti dannosi. È esattamente ciò che è accaduto con Polyfill JS.

Passi da seguire per proteggersi

Andrew Betts, sviluppatore di Polyfill JS, ha avverto gli utenti di rimuovere i riferimenti al dominio compromesso e ha sottolineato che non ci sia più bisogno di utilizzare Polyfill JS poiché le funzionalità principali sono ormai supportate da tutti i browser. Nel frattempo, Cloudflare e Fastly hanno messo a disposizione mirror sicuri del servizio. Google, inoltre, ha avviato una campagna informativa per avvisare i gestori di siti Web dell'infiltrazione, rivelando che il problema riguarda anche Bootcss, Bootcdn e Staticfile. Usando PublicWWW si può verificare la presenza di oltre 500.000 siti compromessi da questi servizi. Si consiglia di controllare e rimuovere eventuali riferimenti a polyfill.io, bootcss.com, bootcdn.net e staticfile.org dal codice delle proprie pagine Web.