Polyfill.js, bazı web özellikleri için yerel destek gerektirmeyen eski tarayıcılarda modern işlevsellik sağlayan bir JavaScript kitaplığıdır.
Polyfill’ler geniş bir tarayıcı yelpazesinde uyumluluk sağlayarak geliştiricilerin eksik olanı uygulayarak modern JavaScript ve web API’lerini kullanmalarına olanak tanır.
Şubat ayında Çinli bir firma, aralarında JSTOR, Intuit ve Dünya Ekonomik Forumu’nun da bulunduğu 100 binden fazla site tarafından kullanılan “cdn.polyfill.io” sitesini ve popüler polyfill.js kütüphanesinin GitHub hesabını satın aldı.
O zamandan bu yana, Sansec’teki araştırmacılar, mobil cihazları hedef alan kötü amaçlı yazılımların GitHub sayfalarına enjekte edilmesiyle ilgili şikayetlerin hızla silindiğini keşfetti.
Free Webinar on API vulnerability scanning for OWASP API Top 10 vulnerabilities -> Book Your Spot
Polyfill JS Kütüphanesi Enjekte Edildi
Sansec, tersine mühendislik önleme korumaları ve seçici aktivasyon ile karakterize edilen simüle edilmiş bir Google Analytics alanı aracılığıyla mobil kullanıcıları bir kumar web sitesine yönlendiren bir varyantın kodunu çözdü.
Orijinal yaratıcı artık Polyfill kullanımını engelliyor, Fastly ve Cloudflare ise güvenli alternatifler sunuyor.
Bu olay, kullanıcı tarafından yüklenen üçüncü taraf kodunun izlenmesinin önemini vurgulayan bir tedarik zinciri saldırısını tasvir etmektedir.
Siber güvenlik araştırmacıları, araştırmaları sırasında anlayışı geliştirmek için çeşitli kod bileşenlerine açıklayıcı adlar atadı.
Ancak belirli bir işlevin, “tiaozhuan”ın kendi yaratımları değil, orijinal bir unsur olduğunu belirttiler.
İngilizce’de “atlama” olarak yorumlanan bu Çince terim, tehdit aktörleri tarafından yerleştirildi ve potansiyel olarak kötü amaçlı yazılımın kökeni veya yaratıcılarının geçmişi hakkında iyi bir ipucu sağlıyor.
IoC’ler
- https://kuurza[.]com/redirect?from=bitget
- https://www.googie-anaiytics[.]com/html/checkcachehw.js
- https://www.googie-anaiytics[.]com/ga.js
Free Webinar! 3 Security Trends to Maximize MSP Growth -> Register For Free