Služba Polyfill.io byla napadena hackery

Publikováno: 27.6.2024

Používáte službu polyfill.io? Nedávno došlo k rozsáhlému zneužití této služby. Namísto distribuce oblíbené knihovny Polyfill.js začala služba odesílat podvržený kód, který přesměrovával návštěvníky na nežádoucí stránky.

Celý článek

Pokud vaše webové stránky používají službu polyfill.io, okamžitě ji odstraňte a teprve poté se vraťte ke čtení tohoto článku. Nedávno totiž došlo k masivnímu zneužití této služby čínskými hackery, kteří infikovali více než 110 000 webových stránek škodlivým kódem.

Co je to polyfill?

Polyfill je kus kódu (většinou JavaScript), který implementuje funkce, které nejsou nativně podporovány ve všech webových prohlížečích. To umožňuje webovým vývojářům používat nejnovější standardy JavaScriptu nebo CSS bez nutnosti starat se o kompatibilitu napříč různými prohlížeči. Polyfill tak zajišťuje, že moderní webové aplikace mohou plně využívat pokročilé funkce a technologie, aniž by byly omezeny nedostatečnou podporou starších nebo méně používaných prohlížečů.

Nejznámější knihovnou, která dokáže automaticky detekovat prohlížeč a „dolepit” do něj nové funkcionality, je open source knihovna Polyfill.js. Tato knihovna vznikla kolem roku 2010 v rámci širšího projektu vývojářů ve Financial Times. Služba Polyfill.io (záměrně bez odkazu) patřila k nejoblíbenějším veřejným CDN poskytujícím právě tuto knihovnu.

<script src="//cdn.polyfill.io"... // tak snadné to bylo

Podvržený kód

Jak již bylo řečeno službu Polyfill.io využívá přes 110 000 webů všemožně na světě. Začátkem tohoto roku (24. února 2024) převzala vlastnictví domény polyfill.io čínská společnost Funnull. Tehdy původní majitelé projektuvarovali uživatele, aby nástroj okamžitě odstranili, protože nemohou nadále garantovat její bezpečnost. Více se dozvíte v archivu, protože původní GitHub issue bylo dávno smazáno novým majitelem.

V dubnu 2024 došlo k prvnímu incidentu, kdy byla doména Polyfill.io zneužita k distribuci malware. Hackeři změnili DNS záznamy a přesměrovali provoz cdn.polyfill.io na servery obsahující škodlivý kód.

Chování tohoto malware, maskujícího se za Google Analytics, bylo následující:

  • Malware nejprve provedl kontrolu, zda je uživatel na mobilním zařízení. Pokud ano, došlo po čase k přesměrování z původního webu na škodlivou webovou stránku (např. se sázkami na sport)
  • Kód se aktivoval jen v určitý čas, aby znesnadnil automatickou detekci a odhalení.
  • Malware se také pokoušel rozpoznat administrátora, případně vybrané analytické nástroje a včas se deaktivoval.
  • Vše se odehrávalo prostřednictvím falešné domény https://www.googie-anaiytics.com

Před použitím této služby začali varovat jak GitHub tak Cloudflare nebo Google a blokují je některá rozšíření jako například uBlock. Na problém upozorňuje stránka https://polykill.io

Co udělat?

Moderní prohlížeče a webové aplikace již takové knihovny obvykle nepotřebují. Pokud přesto nějakou funkci Polyfill potřebujete, doporučuji přejít na nějakou bezpečnější konkurenci například od společnosti Cloudflare nebo Fastly. Obě tyto služby provozují renomované a důvěryhodné společnosti.

Nahoru
Tento web používá k poskytování služeb a analýze návštěvnosti soubory cookie. Používáním tohoto webu s tímto souhlasíte. Další informace