De rcents rapports de divers entreprises spcialises en cyberscurit font tat de ce que le domaine Polyfill.io est devenu la proprit dune organisation chinoise en dbut danne. Depuis lors, ce dernier est utilis pour infecter des centaines de milliers de sites web avec du code malveillant. Les quipes de recherche recommandent de retirer limmdiat des sites web le code javascript qui dpend de ce dernier.
Le site proposait des polyfills, c’est–dire des bouts de code JavaScript utiles qui ajoutent aux anciens navigateurs des fonctionnalits intgres dans les versions plus rcentes. Ces derniers facilitent la vie des dveloppeurs, car en utilisant des polyfillers, ils savent que leur code web fonctionnera sur un plus grand nombre de navigateurs. Les rcents rapports font tat de ce que polyfill.io diffuse dsormais du code suspect cach dans ces scripts, ce qui signifie que toute personne visitant un site web utilisant ce domaine se retrouvera excuter des lments potentiellement dangereux dans son navigateur.
Hats off to @renchap who originally called out the soon-to-unfold catastrophy of the JavaScript polyfill library and website polyfill[.]io đź‘Ź
parts of the polyfill malware code: pic.twitter.com/7tgDvsNARm
— Liran Tal (@liran_tal) June 27, 2024
Google a commenc bloquer les publicits pour les sites web qui utilisent le code problme, vraisemblablement pour rduire le trafic vers ces sites et le nombre de victimes potentielles. Les propritaires des sites concerns ont galement t alerts par le gant de l’internet.
Nous avons rcemment dtect un problme de scurit susceptible d’affecter les sites web utilisant certaines bibliothques tierces , a dclar un porte-parole de Google. Afin d’aider les annonceurs potentiellement concerns scuriser leurs sites web, nous avons partag de manire proactive des informations sur la manire d’attnuer rapidement le problme.
Les sites qui intgrent des scripts empoisonns provenant de polyfill.io et aussi de bootcss.com peuvent finir par rediriger inopinment les visiteurs loin de l’emplacement prvu, et les envoyer vers des sites indsirables , a indiqu Google aux annonceurs.
Google is now sending a warning about loading 3rd party JS from domains like polyfill.io bootcss.com bootcdn.net & staticfile.org that may do nasty things to your users if your site uses JS from these domains. pic.twitter.com/EUVAgbFXJn
— Michal paček (@spazef0rze) June 25, 2024
Plus de 100 000 sites web contiennent dj ces scripts hostiles, selon l’quipe d’experts en scurit de Sansec, qui a affirm que Funnull, un oprateur CDN prsum chinois qui a achet le domaine polyfill.io et le compte GitHub associ en fvrier, a depuis utilis le service dans une attaque de la chane d’approvisionnement.
Polyfill.io est utilis par la bibliothque universitaire JSTOR ainsi que par Intuit, le Forum conomique mondial et bien d’autres encore.
Depuis fvrier, ce domaine a t surpris en train d’injecter des logiciels malveillants sur des appareils mobiles via n’importe quel site qui intgre cdn.polyfill.io , a averti Sansec qui a ajout toute plainte concernant l’activit malveillante disparaissait rapidement du dpt GitHub.
Le code polyfill est gnr de manire dynamique sur la base des en-ttes HTTP, de sorte que de multiples vecteurs d’attaque sont probables , a not Sansec, ajoutant que le code peut, par exemple, rediriger les utilisateurs mobiles vers un site de paris sportifs utilisant un faux domaine Google Analytics.
En fait, Andrew Betts, qui a cr le projet open source Polyfill au milieu des annes 2010, a dclar plus tt cette anne qu’il ne fallait pas utiliser polyfill.io du tout. En fvrier, il a dclar qu’il n’avait rien voir avec le transfert du nom de domaine et du compte GitHub vers le mystrieux acheteur chinois et a invit tout le monde supprimer son code de leurs pages web par prcaution la suite du changement de propritaire.
Et vous ?
Quelles approches de dveloppement des sites web mettez-vous contribution pour viter de vous retrouver dans de tels cas de figure ?
Voir aussi :