Des acteurs malveillants exploitent le service populaire Polyfill.io pour mener des attaques de rebond à grande échelle en exploitant la chaîne d’approvisionnement du logiciel.
Dans un article de blog publié mardi, des chercheurs de la société néerlandaise de cybersécurité Sansec ont révélé une campagne massive de compromission de la chaîne d’approvisionnement logicielle impliquant Polyfill.io, un service de bibliothèque JavaScript largement utilisé. Sansec a découvert que des acteurs malveillants avaient injecté des charges utiles Polyfill malveillantes dans plus de 100 000 sites Web. Les chercheurs ont initialement observé une activité à partir de février, après que Funnull, une société chinoise, a acquis le domaine Polyfill.io et le compte GitHub.
Sansec souligne que le domaine a injecté des logiciels malveillants dans les appareils mobiles via tout site Web qui l’intègre à l’aide du domaine cdn.polyfill.io. Bien que la bibliothèque open source soit utilisée pour prendre en charge les navigateurs plus anciens, la portée potentielle de l’attaque est importante. SanSec estime que plus de 100 000 sites, dont Intuit et le Forum économique mondial, utilisent polyfill.
La manipulation des fonctions et des comptes GitHub pour mener des attaques de compromission de la chaîne d’approvisionnement de logiciels est une tendance croissante en 2024.
“Le code polyfill est généré dynamiquement sur la base des en-têtes HTTP, donc plusieurs vecteurs d’attaque sont probables”, explique Sansec dans son blog.
Des chercheurs ont enquêté sur un incident au cours duquel Polyfill a été utilisé de manière malveillante pour rediriger les utilisateurs mobiles vers un site de paris sportifs utilisant un faux domaine Google Analytics. Sansec a averti que le code avait été écrit avec une protection contre l’ingénierie inverse et qu’il n’était activé que sur des appareils spécifiques et à des moments précis. Plus inquiétant encore, le code ne s’activait pas lorsqu’il détectait un utilisateur administrateur et retardait l’exécution lorsqu’un service d’analyse Web était trouvé.
« L’auteur original de polyfill recommande de ne pas l’utiliser du tout, car les navigateurs modernes n’en ont plus besoin de toute façon », note Sansec.
Sansec a mis à jour son blog mercredi en indiquant avoir subi des attaques DDoS depuis la publication de son étude sur Polyfill.io. De plus, les chercheurs ont noté que Namecheap avait suspendu le nom de domaine, ce qui « élimine le risque pour le moment ». Ils ont précédemment noté que Funnull avait enregistré plusieurs noms de domaine de sauvegarde pour Polyfill.io auprès de Namecheap et d’autres bureaux d’enregistrement de noms de domaine.
Funnull a publié mercredi une déclaration sur X, anciennement Twitter, niant toute implication du service Polyfill.io dans une activité malveillante.
Contenir la menace
Cloudflare a annoncé mercredi avoir pris des mesures drastiques contre Polyfill.io et Funnull, qui suppriment essentiellement le domaine de son CDN. Comme SanSec et d’autres fournisseurs, Cloudflare a observé des acteurs malveillants utilisant le service pour injecter du code JavaScript malveillant dans les navigateurs des utilisateurs. Les chercheurs ont conseillé aux utilisateurs de ne pas faire confiance au service de bibliothèque JavaScript pour de nombreuses raisons, notamment les fausses déclarations publiées à propos de Cloudflare sur le site Web Polyfill.io.
Cloudflare a conseillé de supprimer complètement le service des sites Web.
“Il s’agit d’une menace réelle pour l’ensemble d’Internet, compte tenu de la popularité de cette bibliothèque”, a écrit Cloudflare dans un article de blog : “Au cours des dernières 24 heures, nous avons mis en place un service de réécriture automatique d’URL JavaScript qui réécrira tout lien vers polyfill. io trouvé sur un site internet Procuration par Cloudflare dans un lien vers notre miroir sous cdnjs. Cela évitera d’interrompre la fonctionnalité du site tout en atténuant le risque d’une attaque de la chaîne d’approvisionnement.
Cloudflare a ajouté que la fonctionnalité est automatiquement activée pour tout site Web utilisant son niveau gratuit. En février, Cloudflare a créé son propre miroir de Polyfill.io en raison d’inquiétudes concernant le nouveau propriétaire du domaine, Funnull. À l’époque, Cloudflare avait noté que Funnull était une entreprise relativement inconnue, ce qui soulevait des inquiétudes quant à l’intégrité de la chaîne d’approvisionnement.
« Le nouveau propriétaire était inconnu dans l’industrie et n’avait pas la confiance nécessaire pour gérer un projet comme polyfill.io. La préoccupation, soulignée même par l’auteur original, était que s’ils abusaient de polyfill.io en injectant du code supplémentaire dans la bibliothèque, cela pourrait provoquer des problèmes de sécurité à grande échelle sur Internet, affectant plusieurs centaines de milliers de sites Web. article de blog lit.
Sur les traces de l’acteur malveillant
Cloudflare a ajouté que ses inquiétudes concernant les attaques de la chaîne d’approvisionnement se sont concrétisées mardi lorsque les utilisateurs de Polyfill.io ont été redirigés vers des sites malveillants. Le billet de blog indique que Cloudflare n’a pas bloqué le domaine en raison de préoccupations concernant des pannes généralisées. Cloudflare a déclaré que les estimations montrent que polyfill.io est utilisé « sur près de 4 % de tous les sites Web ».
Le fournisseur de services cloud Fastly a également créé un miroir de Polyfill.io avant l’acquisition de Funnull, citant des préoccupations similaires.
D’autres noms de domaine impliqués ont été identifiés : bootcss[.]com, bootcdn[.]net, fichier statique[.]org, mais aussi staticfile[.]net, unionadjs[.]com, xhsbpza[.]com, union.macoms[.]là, et newcrbpc[.]com. Le lien entre ces noms de domaine est un identifiant Cloudflare trouvé dans le référentiel GitHub de la librairie.
Un chercheur en sécurité a également trouvé des références suggérant qu’il pourrait s’agir d’une campagne ayant débuté en juin 2023.
