Polyfill.io’nun sahipleri, araştırmacıların 100.000’den fazla web sitesine kötü amaçlı kod dağıttığını ortaya çıkarması nedeniyle polyfill.io’nun kapatılmasının ardından JavaScript CDN hizmetini yeni bir alanda yeniden başlattı.
Polyfill hizmeti, “kötü niyetli olarak karalandığını” ve “Polyfill’e iftira atan medya mesajlarına” maruz kaldığını iddia ediyor.
Polyfill: “Birisi kötü niyetle bize iftira attı”
Polyfill.io alanı bugün itibarıyla kayıt şirketi Namecheap tarafından kapatılmış gibi görünüyor.
Ancak hizmet sahipleri, hizmeti yeni bir alanda yeniden başlattılar ve “tedarik zinciri riski olmadığını” iddia ettiler.
X’teki (eski adıyla Twitter) bir dizi gönderide şüpheli CDN şirketi, büyük ölçekli bir tedarik zinciri saldırısına karıştığı yönündeki iddialara karşı çıktı:
“Polyfill’e iftira atan medya mesajları bulduk. Tüm hizmetlerimizin Cloudflare’de önbelleğe alındığını ve tedarik zinciri riski olmadığını açıklamak istiyoruz.” yazıyor Polidolgu.
Hizmet ayrıca kendisine “iftira atıldığını” iddia ediyor ve CDN’sinin kullanımından kaynaklanan bir riskin mevcut olduğu yönündeki iddiayı reddediyor:
Birisi bize kötü niyetle iftira attı. Tüm içerik statik olarak önbelleğe alındığından tedarik zinciri riskimiz yoktur. Üçüncü tarafların herhangi bir katılımı web sitenize potansiyel riskler getirebilir,
ama hiç kimse bunu kendi itibarımızı tehlikeye atacağı için yapmaz.Bizde zaten var…
— Polyfill (@Polyfill_Global) 26 Haziran 2024
Servis sağlayıcılar hizmeti şu tarihte yeniden başlattı: polyfill.com—ayrıca Namecheap’e kayıtlıdır ve BleepingComputer tarafından yapılan test sırasında tamamen işlevseldir.
Henüz hiçbir polyfill’e güvenme
Polyfill’in kullanımın güvenli olduğu yönündeki kibirli iddialarına rağmen, güvenlik uygulayıcılarının ortaya koyduğu gerçekler ve bulgular bunun aksini kanıtlıyor.
Orijinal açık kaynaklı proje olan Polyfill, JavaScript geliştiricilerinin genellikle bu tür özellikleri desteklemeyen eski tarayıcılara modern işlevsellik eklemesi için yayınlandı. Ancak, yaratıcısı Andrew Betts hiçbir zaman sahip olmadı ve hiçbir ilişkisi olmadı Polyfill’in kodunu bir CDN aracılığıyla sağlayan polyfill.io alanı:
Web siteniz https://t.co/3xHecLPXkB kullanıyorsa HEMEN kaldırın.
Polyfill hizmet projesini oluşturdum ancak alan adına hiçbir zaman sahip olmadım ve satışı üzerinde hiçbir etkim olmadı. https://t.co/GYt3dhr5fI
— Andrew Betts (@triblondon) 25 Şubat 2024
Şubat ayında ‘Funnull’ adlı Çinli bir kuruluş polyfill.io’yu satın aldı ve CDN’si tarafından sağlanan komut dosyalarına kötü amaçlı kodlar yerleştirdi.
Sansec araştırmacıları yakın zamanda Polyfill.io’nun değiştirilmiş komut dosyalarından kaynaklanan tedarik zinciri saldırısının 100.000’den fazla web sitesini etkilediğini tespit etti. Alan adı, doğrudan cdn.polyfill’den kod ekleyen web sitelerini ziyaret eden mobil cihazlara kötü amaçlı yazılım bulaştıracaktır.[.]io.
Dün, bulut güvenlik şirketi Cloudflare de Polyfill.io’nun Cloudflare adını ve logosunu izinsiz kullanımına karşı çıktı. Polyfill.io’nun Cloudflare ile iletişime geçmesine rağmen “yanlış beyanı” web sitelerinden kaldıramamasının “güvenilemeyeceğine dair bir başka uyarı işareti” olduğu belirtildi.
(Bipleyen Bilgisayar)
Cloudflare, Sansec’in Polyfill.io’nun CDN’si tarafından gönderilen kodun aslında kullanıcıları spor bahis sitelerine yönlendirdiği ve bunu yazım hatası yapılmış bir alan adı (google-anaiytics) kullanarak yaptığı yönündeki iddialarını daha da doğruladı.[.]com) Google Analytics’in kasıtlı olarak yanlış yazılmasıydı.
Bu nedenle web siteleri ve geliştiriciler polyfill.io ve polyfill.com’u kullanmaktan kaçınmalı ve hizmetin mevcut kullanımını Cloudflare ve Fastly tarafından oluşturulan güvenli alternatiflerle değiştirmeyi düşünmelidir.