Yaygın olarak kullanılan Polyfill’i hedef alan tedarik zinciri saldırısı[.]io JavaScript kütüphanesinin kapsamı daha önce düşünülenden daha geniş; Censys’in yeni bulguları, 2 Temmuz 2024 itibarıyla 380.000’den fazla ana makinenin kötü amaçlı etki alanına bağlantı veren bir polyfill betiğini gömdüğünü gösteriyor.
Bu, “https://cdn.polyfill” referanslarını içerir[.]io” veya “https://cdn.polyfill[.]Saldırı yüzeyi yönetim firması, HTTP yanıtlarında “.com” ifadesini kullandıklarını söyledi.
“Yaklaşık 237.700 tanesi Hetzner ağında (AS24940) bulunuyor, esas olarak Almanya’da,” diye belirtti. “Bu şaşırtıcı değil – Hetzner popüler bir web barındırma hizmetidir ve birçok web sitesi geliştiricisi bundan yararlanır.”
Etkilenen sunuculara ilişkin daha detaylı analizler, söz konusu kötü amaçlı uç noktaya atıfta bulunan WarnerBros, Hulu, Mercedes-Benz ve Pearson gibi tanınmış şirketlere bağlı alan adlarını ortaya çıkardı.
Saldırının detayları, Haziran 2024’ün sonlarında Sansec’in Polyfill etki alanında barındırılan kodun kullanıcıları yetişkin ve kumar temalı web sitelerine yönlendirmek için değiştirildiği uyarısında bulunmasıyla ortaya çıktı. Kod değişiklikleri, yönlendirmelerin yalnızca günün belirli saatlerinde ve yalnızca belirli kriterleri karşılayan ziyaretçilere karşı gerçekleşmesi için yapıldı.
Kötü niyetli davranışın, alan adının ve ilişkili GitHub deposunun Şubat 2024’te Funnull adlı bir Çinli şirkete satılmasının ardından ortaya çıktığı söyleniyor.
Bu gelişme, alan adı kayıt kuruluşu Namecheap’in alan adını askıya almasına, Cloudflare gibi içerik dağıtım ağlarının Polyfill bağlantılarını otomatik olarak alternatif güvenli yansıtma sitelerine yönlendiren alan adlarıyla değiştirmesine ve Google’ın alan adını yerleştiren sitelerin reklamlarını engellemesine neden oldu.
Operatörler hizmeti polyfill adlı farklı bir alan adı altında yeniden başlatmaya çalışırken[.]com, 28 Haziran 2024’te Namecheap tarafından da kaldırıldı. Temmuz ayının başından beri kaydettikleri diğer iki alan adından biri olan polyfill[.]site ve polyfillcache[.]com –ikincisi ise hala ayakta ve çalışır durumda.
Bunun üstüne, bootcdn dahil olmak üzere potansiyel olarak ilişkili alanların daha kapsamlı bir ağı[.]net, önyüklemecss[.]com, statik dosya[.]net, statik dosya[.]org, birlikadjs[.]com, xhsbpza[.]com, birlik.macoms[.]la, yenicrbpc[.]com’un Polyfill’in bakımcılarına bağlı olduğu ortaya çıkarıldı ve bu durum olayın daha geniş kapsamlı kötü amaçlı bir kampanyanın parçası olabileceğini gösteriyor.
“Bu alan adlarından biri, bootcss[.]com’un polyfill’e çok benzeyen kötü amaçlı faaliyetlerde bulunduğu gözlemlendi[.]Censys, “2023 Haziran’ına kadar uzanan kanıtlara sahip bir .io saldırısı” olduğunu belirterek, bu şüpheli alan adlarına bağlantı veren 1,6 milyon genel kullanıma açık ana bilgisayar keşfettiğini sözlerine ekledi.
“Polyfill.io saldırısından sorumlu olan aynı kötü niyetli aktörün gelecekte benzer faaliyetler için bu diğer etki alanlarını da istismar edebileceği olasılığını düşünmek tamamen mantıksız olmaz.”
Gelişme, WordPress güvenlik şirketi Patchstack’in, düzinelerce meşru eklenti aracılığıyla sahte alan adına bağlanan içerik yönetim sistemini (CMS) çalıştıran sitelere yönelik Polyfill tedarik zinciri saldırısının oluşturduğu artan riskler konusunda uyarıda bulunmasının ardından geldi.