Специалисты компании Censys подсчитали, что скрипты polyfill[.]io, все еще присутствуют на 384 000 хостов, включая государственные сайты и ресурсы крупных компаний (Hulu, Mercedes-Benz и Warner Bros и так далее).
Напомним, что домен polyfill[.]io, массово используемый для размещения полифилов, обеспечивающих работу современных функций в старых браузерах, перестал работать на прошлой неделе, после того как его новых владельцев уличили в перенаправлении посетителей на сайты букмекерских контор и ресурсы для взрослых.
ИБ-специалисты связали происходящее с новым владельцем сайта, китайской компанией Funnull, которая приобрела polyfill[.]io в феврале 2024 года. Исследователи предупреждали, что эта атака на цепочку поставок могла затронуть миллионы сайтов, использующие Bootcss, BootCDN и Staticfile и polyfill[.]io, тогда как представители Funnull заявляли, что их «оклеветали СМИ».
В итоге Namecheap заблокировал домен polyfill[.]io; Cloudflare начала автоматически заменять ссылки pollyfill на безопасные зеркала; в Google заблокировали рекламу для сайтов, использующих polyfill[.]io; разработчики блокировщика uBlock Origin добавил домен в черный список; а разработчик оригинального проекта, Эндрю Беттс призвал владельцев сайтов немедленно избавиться от этого кода.
Теперь аналитики Censys подсчитали, что по состоянию на 2 июля 2024 года в сети можно было обнаружить 384 773 хоста с внедренным скриптом polyfill, ссылающимся на вредоносный домен.
Большинство из них (237 700) находятся в Германии, в сети Hetzner (AS24940), но домены, связанные с другими крупными платформами (включая Hulu, Mercedes-Benz, Pearson и Warner Bros), также насчитывают множество хостов, связанных с вредоносным эндпоинтом polyfill.
«Поскольку домен был временно отключен, атака на цепочку поставок остановлена, — пишут специалисты Censys. — Однако если домен будет разблокирован или перемещен, он может возобновить свое вредоносное поведение. Надеемся, что NameCheap должным образом блокировала домен и не допустит этого».
Анализ выявленных доменов показал, что polyfill[.]io применялся в самых различных секторах, включая правительственные сайты. В общей сложности 182 затронутых хоста оказались связаны с доменами .gov.
Но есть и хорошие новости: теперь значительно больше сайтов используют безопасные альтернативы, включая созданные специалистами Cloudflare и Fastly: их число увеличилось с 80 312 до 216 504.