05 de julio de 2024Sala de prensaAtaque a la cadena de suministro / Malware El ataque a la cadena de suministro dirigido al ampliamente utilizado Polyfill[.]La biblioteca de JavaScript io tiene un alcance más amplio de lo que se pensaba anteriormente, y los nuevos hallazgos de Censys muestran que más de 380 000 hosts están incorporando un script polyfill que se vincula al dominio malicioso a partir del 2 de julio de 2024. Esto incluye referencias a «https://cdn.polyfill[.]io» o «https://cdn.polyfill[.]com» en sus respuestas HTTP, dijo la empresa de gestión de la superficie de ataque. «Aproximadamente 237.700, se encuentran dentro de la red Hetzner (AS24940), principalmente en Alemania», señaló. «Esto no es sorprendente: Hetzner es un servicio de alojamiento web popular y muchos desarrolladores de sitios web lo aprovechan». Un análisis más detallado de los hosts afectados ha revelado dominios vinculados a empresas destacadas como WarnerBros, Hulu, Mercedes-Benz y Pearson que hacen referencia al punto final malicioso en cuestión. Los detalles del ataque surgieron a fines de junio de 2024 cuando Sansec alertó que el código alojado en el dominio Polyfill había sido modificado para redirigir a los usuarios a sitios web con temas de adultos y juegos de azar. Los cambios de código se realizaron de tal manera que las redirecciones solo se llevaron a cabo en ciertos momentos del día y solo contra los visitantes que cumplieron con ciertos criterios. Se dice que el comportamiento nefasto se introdujo después de que el dominio y su repositorio GitHub asociado se vendieran a una empresa china llamada Funnull en febrero de 2024. Desde entonces, el desarrollo ha llevado al registrador de dominios Namecheap a suspender el servicio. dominio, redes de distribución de contenido como Cloudflare para reemplazar automáticamente los enlaces de Polyfill con dominios que conducen a sitios espejo seguros alternativos, y Google para bloquear anuncios de sitios que incorporan el dominio. Mientras que los operadores intentaron relanzar el servicio bajo un dominio diferente llamado polyfill[.]com, también fue eliminado por Namecheap a partir del 28 de junio de 2024. De los otros dos dominios registrados por ellos desde principios de julio, polyfill[.]sitio y polyfillcache[.]com –este último sigue en funcionamiento. Además, una red más amplia de dominios potencialmente relacionados, incluido bootcdn[.]red, bootcss[.]com, archivo estático[.]red, archivo estático[.]org, unionadjs[.]con, xhsbpza[.]com, union.macoms[.]la, nuevocrbpc[.]com, se ha descubierto que está vinculado a los encargados del mantenimiento de Polyfill, lo que indica que el incidente podría ser parte de una campaña maliciosa más amplia. «Uno de estos dominios, bootcss[.]com, se ha observado que participa en actividades maliciosas que son muy similares a las de polyfill.[.]»El ataque polyfill.io, con evidencia que se remonta a junio de 2023», señaló Censys, y agregó que descubrió 1,6 millones de hosts públicos que se vinculan a estos dominios sospechosos. «No sería del todo descabellado considerar la posibilidad de que el mismo actor malicioso responsable del ataque polyfill.io pueda explotar estos otros dominios para actividades similares en el futuro». El desarrollo se produce cuando la empresa de seguridad de WordPress Patchstack advirtió sobre los riesgos en cascada que plantea el ataque a la cadena de suministro de Polyfill en los sitios que ejecutan el sistema de gestión de contenido (CMS) a través de docenas de complementos legítimos que se vinculan al dominio fraudulento. ¿Te resultó interesante este artículo? Síguenos en Twitter  y LinkedIn para leer más contenido exclusivo que publicamos.