Büyük bir tedarik zinciri saldırısı, 100.000’den fazla web sitesi tarafından JavaScript kodu sunmak için kullanılan bir JavaScript CDN hizmeti olan Polyfill (Polyfill.io) kullanan web sitelerinin güvenliğini tehlikeye attı. Güvenlik araştırmacıları, cdnpolyfillio alanının, komut dosyalarında kötü amaçlı kod sunmak üzere tehlikeye atıldığı konusunda uyarıyor. Alan adının Şubat 2024’te Çinli bir şirket olan Funnull tarafından satın alındığını da belirtelim.
Polyfill.io, eski tarayıcıların yalnızca yeni sürümlerde bulunan özellikleri anlayabilmesini sağlayan kod parçacıkları içeren açık kaynaklı bir kitaplıktır. Bu, geliştiricilerin modern web standartlarını ve API’leri uyumluluk sorunları olmadan kullanmasına ve eski ortamlarda çalışmasını sağlarken kod yazmasına olanak tanır.
Sansec, 25 Haziran 2024’te yayınladığı raporunda, yeni sahiplerin Polyfill.io kütüphanesine kötü amaçlı kod enjekte ettiği iddiasını yazdı. Güvenliği ihlal edilmiş cdn.polyfill.io kaynağını kullanmaya devam eden web siteleri, ziyaretçilerini bilmeden potansiyel tehditlere maruz bıraktı.
“Bu yılın şubat ayında Çinli bir şirket alan adını ve GitHub hesabını satın aldı. O zamandan bu yana, bu alan adının cdn.polyfill.io’yu barındıran herhangi bir site aracılığıyla mobil cihazlara kötü amaçlı yazılım yerleştirdiği tespit edildi.” Sansec’in araştırması ortaya çıktı.
San Francisco merkezli güvenlik izleme firması c/side kurucusu Simon Wijckmans da tavsiyelerinde alarm vererek web sitesi sahiplerini uygulamalarından polyfillio alanını kaldırmaya çağırdı. Wijckmans, saldırganların, JavaScript tehditlerine benzer şekilde etki alanını gizlediğini ve bunun kötü niyetli aktörler için cazip bir yol haline geldiğini belirtti.
Daha ayrıntılı incelemeler, kötü amaçlı kodun HTTP başlıklarını temel alan veriler oluşturduğunu, tespitten kaçındığını ve yönetici kullanıcılardan kaçındığını ortaya çıkardı. Kod, cdnpolyfillio kullanılarak web siteleri aracılığıyla cihazlara enjekte edilir. Kullanıcılar, sahte Google Analytics bağlantıları da dahil olmak üzere tahrif edilmiş JavaScript dosyaları alabilir ve onları spor bahisleri ve pornografik web sitelerine yönlendirebilir. JavaScript olan kötü amaçlı kod, form hırsızlığı, tıklama hırsızlığı ve daha geniş kapsamlı veri hırsızlığı gibi yeni saldırılara neden olabilir.
Polyfill kullanıcıları Şubat ayında geliştirici Andrew Betts tarafından olası kötü amaçlı faaliyetler konusunda uyarılmıştı. Betts, X hakkındaki gönderisinde kullanıcılara satıştan sonra polyfillio alanını kullanmayı bırakmalarını ve CDN’ye yapılan referansları kaldırmalarını tavsiye etti.
Web siteniz https://t.co/3xHecLPXkB kullanıyorsa HEMEN kaldırın.
Polyfill hizmet projesini oluşturdum ancak alan adına hiçbir zaman sahip olmadım ve satışı üzerinde hiçbir etkim olmadı. https://t.co/GYt3dhr5fI
— Andrew Betts (@triblondon) 25 Şubat 2024
Google, Polyfill.io hizmetini kullanan e-ticaret sitelerinin reklamlarını engelledi ve etkilenen reklamverenlerin web sitelerini güvence altına almasına yardımcı olmak için sorunun nasıl azaltılabileceğine ilişkin bilgileri proaktif olarak paylaştı. Web altyapısı sağlayıcıları Cloudflare ve Fastly, kullanıcıların polyfillio’dan uzaklaşmasına yardımcı olmak için alternatif uç noktalar sundu.
Polyfill.io olayı, web geliştirmede tedarik zinciri güvenliğinin, sürekli izlemenin ve açık kaynak işbirliğinin önemini vurguluyor. Geliştiriciler, dış kaynakları entegre ederken dikkatli olmalı ve güvenlik uygulamalarına öncelik vermelidir. Düzenli güvenlik denetimleri ve kod incelemeleri, güvenlik açıklarının belirlenmesi ve kötüye kullanımın önlenmesi açısından çok önemlidir.
İLGİLİ KONULAR
- Satori kötü amaçlı yazılımının kodu Pastebin’de yayınlandı
- Kötü Amaçlı Yazılım Dağıtımı için QRLJacking ile Kullanılan QR Kodları
- Oyun hile kodlarıyla yeni kötü amaçlı yazılım saldırısında hedef alınan oyuncular