Después de cerrar su sitio web, el propietario de polyfill.io está luchando contra las acusaciones de que contrabandeó códigos sospechosos en sitios web de Internet. En una serie de Xeets enojados durante los últimos tres días, lo que probablemente es el misterioso operador de CDN propietario del servicio Polyfill acusó al titán de CDN Cloudflare, a los medios de comunicación y a otros de «difamación maliciosa» y «calumnia». «No tenemos riesgos en la cadena de suministro», afirmó la organización en una de varias publicaciones. Las misivas enojadas siguen a múltiples advertencias de expertos en la industria de la seguridad informática, e incluso del creador del proyecto de servicio de código abierto Polyfill, que le dicen a cualquiera que tenga un sitio web que utilice cualquier código JavaScript del dominio polyfill.io que lo elimine de inmediato. Tras todas esas críticas, el registrador de dominios Namecheap cerró polyfill.io. Desde entonces, el sitio se ha relanzado como polyfill.[.]com, anunciado como un «CDN gratuito para proyectos de código abierto». En febrero, el operador de CDN Funnull compró el dominio .io y su cuenta de GitHub asociada. Algún tiempo después de eso, polyfill.io fue sorprendido introduciendo código malicioso en sitios en un ataque a la cadena de suministro, según el equipo de seguridad de comercio electrónico Sansec. Al comienzo de la semana, más de 100.000 sitios web contenían los scripts del sitio, dijo el equipo forense de Sansec. Debemos tener en cuenta que Funnull afirma tener su sede en Eslovenia y, al mismo tiempo, «fabricarse en los EE. UU.», sus diversas direcciones de oficinas en todo el mundo en su sitio web no existen y su número de contacto de WhatsApp y WeChat está en Filipinas. El idioma subyacente del sitio y el perfil de Telegram están en mandarín, lo que lleva a muchos a sospechar que la empresa es una entidad china. Mientras tanto, la cuenta de Twitter de Polyfill dice que tiene su sede en el Reino Unido. Tras la venta del dominio en febrero, Cloudflare advirtió que representaba un riesgo para la cadena de suministro: quien controlara el .io podría cambiar el código JavaScript que ofrecía por scripts maliciosos e infectar un montón de sitios de una sola vez. El miércoles, Cloudflare dijo que esas preocupaciones se habían hecho realidad e informó que el servicio Polyfill.io se estaba utilizando para inyectar código malicioso en los navegadores. En concreto, según Cloudflare, «el servicio polyfill.io se estaba utilizando para inyectar código nefasto que, en determinadas circunstancias, redirigía a los usuarios a otros sitios web». Sansec entró en más detalles en un artículo anterior y señaló: «Esta es una amenaza real para Internet en general dada la popularidad de esta biblioteca», señaló el CEO y cofundador de Cloudflare, Matthew Prince, en un aviso el miércoles junto con el CTO. John Graham-Cumming y el director senior Michael Tremante. El gigante de la nube también creó un servicio automático de reescritura de URL de JavaScript para facilitar que cualquier sitio web proxy de Cloudflare reemplace el código de polyfill.io con el del espejo de Cloudflare. «Esto evitará interrumpir la funcionalidad del sitio y al mismo tiempo mitigará el riesgo de un ataque a la cadena de suministro», escribió el trío. Esta función ya se ha activado en cualquier sitio web con un plan gratuito y los planes pagos pueden activarla con un solo clic. El jueves, nuevamente a través de X/Twitter, quienquiera que esté detrás del servicio Polyfill respondió, describiendo las acciones de Cloudflare como «deplorables». «En el futuro, me dedicaré por completo a desarrollar un producto CDN global que supere a Cloudflare y muestre el verdadero poder del capital», agregaron. El propietario del sitio afirmó tener 50 millones de dólares en financiación y añadió que «el diseño del producto ha sido finalizado». ®