Más de 110.000 sitios web se han visto afectados por un ataque a la cadena de suministro en el servicio online Polyfill.io. Este tipo de ataque se da cuando un componente esencial utilizado por muchos sitios web es alterado de manera maliciosa; en este caso, se trata de la biblioteca 'polyfill.js', que los usuarios habían insertado previamente en sus propias webs.
El servicio polyfill․io inyecta automáticamente código en las webs que añade dinámicamente funcionalidades modernas a navegadores antiguos que no las soportan nativamente (lo que garantiza la compatibilidad de las webs con dichos navegadores). Pero quien controla el archivo JavaScript mencionado es quien controla, a la hora de la verdad, qué código se inserta en las webs...
...y esta es la razón por los visitantes de las mismas han empezado a ser redirigidos a sitios de apuestas deportivas y pornografía, según denuncia la empresa de ciberseguridad Sansec en un informe recién publicado.
Éste también recoge que el código malicioso se activaba sólo en dispositivos móviles específicos y en horarios determinados, evitando su activación cuando se detectaba un usuario administrador o un servicio de análisis web.
"El código polyfill se genera dinámicamente en función de los encabezados HTTP, por lo que es probable que existan múltiples vectores de ataque"
Cuando el proveedor es el enemigo
Y sin embargo, ningún atacante externo ha hackeado Polyfill.io. De hecho, el problema surgió después de que Funnull, una empresa china (aunque oficialmente se presenta como eslovena) proveedora de CDN, comprara el dominio en febrero de 2024.
Desde el principio, esta adquisición generó inquietud debido a la falta de transparencia sobre las intenciones de la nueva compañía. Incluso Andrew Betts, el creador original de Polyfill.io, terminó recomendando a los webmasters que dejaran de usar el servicio.
Ahora, Google ha bloqueado los anuncios en aquellos sitios de e-commerce que utilizan este servicio, y el principal servicio CDN de Internet, Cloudflare redirige las llamadas al archivo *.js de marras a servidores proxy desinfectados. Mientras, Funnull ha negado las acusaciones de inyección de código malicioso y ha acusado a sus críticos de difamación.
Recomendaciones para evitar que tu web sufra ataques similares
- No cargar archivos JavaScript de dominios externos: A menos que sea absolutamente necesario, evitar cargar scripts de servidores externos. Sólo si es necesario, verificar y servir el contenido desde tu propio servidor.
- Limitar el número de dependencias del proyecto: Reducir la cantidad de dependencias para minimizar los vectores de ataque.
- Utilizar herramientas de auditoría y monitoreo: Implementar herramientas que auditen las dependencias y monitoreen cambios inusuales en los archivos cargados desde servidores externos.
- Implementar políticas de seguridad CSP: Configurar una política de seguridad de contenido robusta para limitar las fuentes de scripts permitidas.
- Verificar la integridad de los scripts externos: Usar la directiva de integridad en las etiquetas '', que permite verificar el 'hash' de un archivo *.js, para asegurar que el script cargado no ha sido alterado.
Vía | The Register
Imagen | Marcos Merino mediante IA
En Genbeta | El gestor de paquetes NPM, usado para difundir malware entre los desarrolladores de aplicaciones NodeJS
Ver 0 comentarios