Getty Images Más de 384.000 sitios web tienen enlaces a un sitio que fue descubierto la semana pasada mientras realizaba un ataque a la cadena de suministro que redirigía a los visitantes a sitios maliciosos, dijeron los investigadores. Durante años, el código JavaScript, alojado en polyfill[.]com, era un proyecto legítimo de código abierto que permitía a los navegadores más antiguos manejar funciones avanzadas que no eran compatibles de forma nativa. Al vincular a cdn.polyfill[.]io, los sitios web podrían garantizar que los dispositivos que usan navegadores antiguos puedan reproducir contenido en formatos más nuevos. El servicio gratuito era popular entre los sitios web porque todo lo que tenían que hacer era incrustar el enlace en sus sitios. El código alojado en el sitio polyfill hizo el resto. El poder de los ataques a la cadena de suministro En febrero, la empresa Funnull, con sede en China, adquirió el dominio y la cuenta de GitHub que alojaba el código JavaScript. El 25 de junio, los investigadores de la empresa de seguridad Sansec informaron que el código alojado en el dominio polyfill había sido modificado para redirigir a los usuarios a sitios web con temas de adultos y juegos de azar. El código fue diseñado deliberadamente para enmascarar las redirecciones al realizarlas solo en ciertos momentos del día y solo contra los visitantes que cumplieran criterios específicos. La revelación provocó llamados de toda la industria para tomar medidas. Dos días después de que se publicara el informe de Sansec, el registrador de dominios Namecheap suspendió el dominio, una medida que impidió efectivamente que el código malicioso se ejecutara en los dispositivos de los visitantes. Incluso entonces, las redes de distribución de contenido como Cloudflare comenzaron a reemplazar automáticamente los enlaces de pollyfill con dominios que conducían a sitios espejo seguros. Google bloqueó los anuncios de los sitios que incorporaban Polyfill[.]El bloqueador de sitios web uBlock Origin agregó el dominio a su lista de filtros. Y Andrew Betts, el creador original de Polyfill.io, instó a los propietarios de sitios web a eliminar los enlaces a la biblioteca de inmediato. Hasta el martes, exactamente una semana después de que saliera a la luz el comportamiento malicioso, 384.773 sitios seguían enlazando al sitio, según los investigadores de la empresa de seguridad Censys. Algunos de los sitios estaban asociados con empresas importantes como Hulu, Mercedes-Benz y Warner Bros. y el gobierno federal. Los hallazgos subrayan el poder de los ataques a la cadena de suministro, que pueden propagar malware a miles o millones de personas simplemente infectando una fuente común de la que todos dependen. «Desde que se suspendió el dominio, el ataque a la cadena de suministro se ha detenido», escribió Aidan Holland, miembro del equipo de investigación de Censys, en un correo electrónico. «Sin embargo, si se reactivara la suspensión del dominio o se transfiriera, podría reanudar su comportamiento malicioso. Mi esperanza es que NameCheap haya bloqueado correctamente el dominio y haya evitado que esto ocurra». Además, el análisis de Internet realizado por Censys encontró más de 1,6 millones de sitios vinculados a uno o más dominios que fueron registrados por la misma entidad propietaria de polyfill.[.]io. Al menos uno de los sitios, bootcss[.]com, fue observado en junio de 2023 realizando acciones maliciosas similares a las de polyfill. Ese dominio y otros tres (bootcdn[.]red, archivo estático[.]net y archivo estático[.]org—también se descubrió que habían filtrado la clave de autenticación de un usuario para acceder a una interfaz de programación proporcionada por Cloudflare. Los investigadores de Censys escribieron: Hasta ahora, este dominio (bootcss.com) es el único que muestra signos de posible malicia. La naturaleza de los otros puntos finales asociados sigue siendo desconocida y evitamos la especulación. Sin embargo, no sería del todo descabellado considerar la posibilidad de que el mismo actor malicioso responsable del ataque polyfill.io pueda explotar estos otros dominios para actividades similares en el futuro. De los 384.773 sitios que aún enlazan a polyfill[.]De los 237.700 dominios que se encuentran en el servidor web Hetzner, con sede en Alemania, Censys descubrió que varios sitios importantes, tanto del sector público como del privado, se encontraban entre los que enlazaban a polyfill. Entre ellos se encontraban: Warner Bros. (www.warnerbros.com) Hulu (www.hulu.com) Mercedes-Benz (shop.mercedes-benz.com) Pearson (digital-library-qa.pearson.com, digital-library-stg.pearson.com) ns-static-assets.s3.amazonaws.com La dirección amazonaws.com fue el dominio más común asociado con los sitios que aún enlazaban al sitio polyfill, una indicación de un uso generalizado entre los usuarios del servidor web estático S3 de Amazon. Censys también encontró 182 dominios que terminan en .gov, lo que significa que están afiliados a una entidad gubernamental. Uno de esos dominios, feedthefuture[.]gov—está afiliado al gobierno federal de los EE. UU. Aquí se incluye un desglose de los 50 sitios más afectados. Los intentos de comunicarse con los representantes de Funnull para obtener comentarios no tuvieron éxito.