De récents rapports de divers entreprises spécialisées en cybersécurité font état de ce que le domaine Polyfill.io est devenu la propriété d’une organisation chinoise en début d’année. Depuis lors, ce dernier est utilisé pour infecter des centaines de milliers de sites web avec du code malveillant. Les équipes de recherche recommandent de retirer à l’immédiat des sites web le code javascript qui dépend de ce dernier.
Le site proposait des polyfills, c’est-à-dire des bouts de code JavaScript utiles qui ajoutent aux anciens navigateurs des fonctionnalités intégrées dans les versions plus récentes. Ces derniers facilitent la vie des développeurs, car en utilisant des polyfillers, ils savent que leur code web fonctionnera sur un plus grand nombre de navigateurs. Les récents rapports font état de ce que polyfill.io diffuse désormais du code suspect caché dans ces scripts, ce qui signifie que toute personne visitant un site web utilisant ce domaine se retrouvera à exécuter des éléments potentiellement dangereux dans son navigateur.
Google a commencé à bloquer les publicités pour les sites web qui utilisent le code à problème, vraisemblablement pour réduire le trafic vers ces sites et le nombre de victimes potentielles. Les propriétaires des sites concernés ont également été alertés par le géant de l’internet.
« Nous avons récemment détecté un problème de sécurité susceptible d’affecter les sites web utilisant certaines bibliothèques tierces », a déclaré un porte-parole de Google. « Afin d’aider les annonceurs potentiellement concernés à sécuriser leurs sites web, nous avons partagé de manière proactive des informations sur la manière d’atténuer rapidement le problème.
Les sites qui intègrent des scripts empoisonnés provenant de polyfill.io et aussi de bootcss.com peuvent finir par rediriger inopinément les visiteurs loin de l’emplacement prévu, et les envoyer vers des sites indésirables », a indiqué Google aux annonceurs.
Plus de 100 000 sites web contiennent déjà ces scripts hostiles, selon l’équipe d’experts en sécurité de Sansec, qui a affirmé que Funnull, un opérateur CDN présumé chinois qui a acheté le domaine polyfill.io et le compte GitHub associé en février, a depuis utilisé le service dans une attaque de la chaîne d’approvisionnement.
Polyfill.io est utilisé par la bibliothèque universitaire JSTOR ainsi que par Intuit, le Forum économique mondial et bien d’autres encore.
Depuis février, « ce domaine a été surpris en train d’injecter des logiciels malveillants sur des appareils mobiles via n’importe quel site qui intègre cdn.polyfill.io », a averti Sansec qui a ajouté toute plainte concernant l’activité malveillante disparaissait rapidement du dépôt GitHub.
« Le code polyfill est généré de manière dynamique sur la base des en-têtes HTTP, de sorte que de multiples vecteurs d’attaque sont probables », a noté Sansec, ajoutant que le code peut, par exemple, rediriger les utilisateurs mobiles vers un site de paris sportifs utilisant un faux domaine Google Analytics.
En fait, Andrew Betts, qui a créé le projet open source Polyfill au milieu des années 2010, a déclaré plus tôt cette année qu’il ne fallait pas utiliser polyfill.io du tout. En février, il a déclaré qu’il n’avait rien à voir avec le transfert du nom de domaine et du compte GitHub vers le mystérieux acheteur chinois et a invité tout le monde à supprimer son code de leurs pages web par précaution à la suite du changement de propriétaire.
source : developpez
