電子商取引のセキュリティ会社Sansecは、Polyfill JSサービスをホスティングしている多くのCDN経由でアクセスした場合に影響を与える新しいサプライチェーン攻撃を発表した。Sansecによると、10万以上のサイトが攻撃されたという。このサービスのオリジナル作成者であるAndrew Betts氏は、Polyfillを使用しているサイトからPolyfillを削除することを提案している。
Sansecによると、少なくとも2023年6月以降、悪意のある行為者がマルウェアを拡散するために多くのドメインをコントロールしている。彼らの最初の報告では、https://cdn.polyfill.ioのドメインだけが影響を受けているとしてフラグが立てられていた。
今年2月、中国企業がこのドメインとGithubアカウントを購入しました。それ以来、このドメインは、cdn.polyfill.ioを埋め込むあらゆるサイトを経由して、モバイルデバイスにマルウェアを注入していることが判明しました。
数日後、Sansecはbootcdn.net、bootcss.com、staticfile.net、staticfile.org、unionadjs.com、xhsbpza.com、union.macoms.la、newcrbpc.comを含むドメインのリストを拡張した。
Polyfill JSサービスは、リクエストを送信するブラウザとデバイスに基づいて動的にポリフィル・コードを生成するため、実際にクライアントに展開されるマルウェアも異なる可能性がある。Sansecは、擬似Google Analyticsドメイン(www.googie-anaiytics.com)を使用してモバイルユーザーをスポーツベッティングサイトにリダイレクトする特定のマルウェアを検出したが、その他の亜種が存在するかどうかはまだ分かっていない。
このコードには、リバースエンジニアリングに対する特別な保護機能があり、特定のモバイルデバイス上で、特定の時間帯にのみ起動します。また、管理者ユーザーを検知したときには起動しません。また、ウェブ解析サービスが検出されると実行を遅らせますが、これはおそらく統計に残らないようにするためでしょう。
このサービスのオリジナル作成者であるAndrew Betts氏は、polyfill.ioドメインとの関係やその販売への関与を否定している。前述の通り、彼はpolyfill.ioでPolyfillを完全に取り除くことも提案している。
今日、http://polyfill.ioライブラリのPolyfillを必要とするウェブサイトはありません。ウェブ・プラットフォームに追加されたほとんどの機能は、Web Serial や Web Bluetoothのような、一般的にPolyfillできないいくつかの例外を除いて、すべての主要ブラウザにすぐに採用されます。
polyfill.ioへのリンクをCloudFlareがホストするバージョンのpolyfill.jsに書き換えるJavaScriptの自動URL書き換えサービスをCloudFlareがリリースした。
CloudFlareは、このサプライチェーン攻撃がどのようにして存在するようになったかを理解するために、いくつかの詳細を付け加えている。
2月に、人気のあるJavaScriptライブラリをホストするドメインpolyfill.ioが、比較的無名の会社であるFunnullという新しいオーナーに売却されました。当時、私たちはこのことがサプライチェーンのリスクを生むのではないかと懸念していました。
この新たなサプライ・チェーン攻撃は、ウェブ開発の世界で広まっている慣行について再び懸念を抱かせるものだ。Betts氏はXスレッドで、人気のあるJSスクリプトを提供するドメインは、そのスクリプトを使用しているすべてのウェブサイトにアクセスまたは変更できるため、「巨大なセキュリティ上の懸念」であると指摘した。
もしあなたがウェブサイトを所有しているなら、スクリプトを読み込むということは、その第三者との信じられないような信頼関係を意味します。実際、信頼できるのでしょうか?
Hacker Newsのコメント欄には、この種のリスクに対処する方法として、サブリソースの整合性(SRI)チェックを挙げる人が何人かいたが、確かにpolyfills.ioは動的コードを生成するので、これはオプションではなかった。
他の人たちは、HTTP/2がキャッシュ・パーティショニングを導入し、ドメインへの同時リクエストを制限しなくなった後、異なるドメインに共通する依存性がローカルで再利用されるという考え方はもはや成り立たないため、ほとんどのユースケースではCDNの使用はもはや正当化されないという事実を示唆した。