AI DevwWrld CyberDSA Chatbot Summit Cyber Revolution Summit CYSEC Global Cyber Security & Cloud Expo World Series Digital Identity & Authentication Summit Asian Integrated Resort Expo Middle East Low Code No Code Summit TimeAI Summit

Attacco alla supply chain di Polyfill JS: cosa è successo

Un'analisi dettagliata dell'attacco informatico che ha compromesso una libreria essenziale per la compatibilità JavaScript nei browser

Negli ultimi tempi, attacchi alla supply chain su progetti open source sono aumentati. Polyfill JS, utilizzato per migliorare la compatibilità dei browser, è stato compromesso da un dominio malevolo. Gli sviluppatori devono rimuovere i riferimenti a questo dominio per proteggersi.

This pill is also available in English language

Nell'ultimo periodo, i supply chain attack contro progetti open source sono in aumento. Questi attacchi mirano a infiltrarsi in uno o più anelli della catena distributiva di un software rispettato. L'obiettivo degli aggressori è alterare i componenti affidabili sfruttando la fiducia riposta in essi, per poi colpire un determinato gruppo di vittime. Dopo l'episodio della backdoor nelle XZ Utils, un nuovo caso coinvolge Polyfill JS, una libreria diffusa che colma le lacune di compatibilità nei browser, garantendo l'uso delle più recenti funzionalità JavaScript anche su software datati.

Indagini di Sansec su siti compromessi

Gli esperti di Sansec hanno scoperto che i siti web che utilizzano Polyfill JS hanno iniziato a distribuire codice malevolo. Il filo conduttore è un riferimento a un dominio simile a Google Analytics, con "l" sostituiti da "i" (googie-anaiytics). Il caricamento del codice ospitato su questo dominio porta al download di malware o all'apertura di pagine non desiderate. Sansec ha rilevato che il codice varia a seconda delle intestazioni HTTP, include protezioni contro il reverse engineering e si attiva solo su dispositivi mobili specifici in determinati orari. Tra le vittime celebri figurano il sito del World Economic Forum e JSTOR. Secondo PublicWWW, oltre 100.000 siti, utilizzano Polyfill JS, dimostrando la portata del problema che parrebbe coinvolgere anche il portale dell'Agenzia per l’Italia digitale (AgID).

Acquisizione del dominio Polyfill JS

Come ha fatto Polyfill JS a diventare un veicolo di attacco? Il dominio che ospitava il codice è stato acquisito da un soggetto cinese a febbraio 2024. Inizialmente, il contenuto legittimo è stato mantenuto, poi sostituito con codice maligno. Molti sviluppatori, per risparmiare banda e non sovraccaricare i server, richiamano URL remoti per componenti di terze parti. Questo fa sì che, se il codice esterno viene alterato, il sito Web inizi a erogare contenuti dannosi. È esattamente ciò che è accaduto con Polyfill JS.

Passi da seguire per proteggersi

Andrew Betts, sviluppatore di Polyfill JS, ha avverto gli utenti di rimuovere i riferimenti al dominio compromesso e ha sottolineato che non ci sia più bisogno di utilizzare Polyfill JS poiché le funzionalità principali sono ormai supportate da tutti i browser. Nel frattempo, Cloudflare e Fastly hanno messo a disposizione mirror sicuri del servizio. Google, inoltre, ha avviato una campagna informativa per avvisare i gestori di siti Web dell'infiltrazione, rivelando che il problema riguarda anche Bootcss, Bootcdn e Staticfile. Usando PublicWWW si può verificare la presenza di oltre 500.000 siti compromessi da questi servizi. Si consiglia di controllare e rimuovere eventuali riferimenti a polyfill.io, bootcss.com, bootcdn.net e staticfile.org dal codice delle proprie pagine Web.

Follow us on Facebook for more pills like this

06/27/2024 04:33

Marco Verro

Last pills

Google Cloud security predictions for 2024: how AI will reshape the cybersecurity landscapeFind out how AI will transform cybersecurity and address geopolitical threats in 2024 according to Google Cloud report

AT&T: data breach discovered that exposes communications of millions of usersDigital security compromised: learn how a recent AT&T data breach affected millions of users

New critical vulnerability discovered in OpenSSH: remote code execution riskFind out how a race condition in recent versions of OpenSSH puts system security at risk: details, impacts and solutions to implement immediately

Discovery of an AiTM attack campaign on Microsoft 365A detailed exploration of AiTM attack techniques and mitigation strategies to protect Microsoft 365 from advanced compromises