El ataque a la cadena de suministro dirigido a Polyfill.io ha revelado un alcance más amplio de lo inicialmente pensado. Según los últimos hallazgos de Censys, más de 380,000 hosts están integrando un script polyfill que se vincula a un dominio malicioso desde el 2 de julio de 2024.
Esto incluye referencias a «https://cdn.polyfill.io» o «https://cdn.polyfill.com» en respuestas HTTP, según informó la firma de gestión de la superficie de ataque.
Aproximadamente 237,700 de estos hosts se encuentran dentro de la red Hetzner (AS24940), principalmente en Alemania, lo cual no es sorprendente dado que Hetzner es un proveedor popular de servicios de alojamiento web.
Un análisis más detallado de los hosts afectados ha revelado que dominios asociados a empresas prominentes como WarnerBros, Hulu, Mercedes-Benz y Pearson hacen referencia al punto final malicioso en cuestión.
El incidente surgió a finales de junio de 2024 cuando Sansec alertó sobre modificaciones en el código alojado en el dominio Polyfill, redirigiendo a los usuarios a sitios web de temática adulta y juegos de azar en momentos específicos del día y bajo ciertos criterios.
Estas modificaciones se introdujeron después de que el dominio y su repositorio de GitHub fueran adquiridos por Funnull, una empresa china, en febrero de 2024. Desde entonces, diversas acciones han sido tomadas por actores del sector, como la suspensión del dominio por Namecheap y el bloqueo de anuncios por parte de Google en sitios que integraban el dominio afectado.
Aunque se intentó relanzar el servicio bajo el dominio polyfill.com, también fue eliminado por Namecheap el 28 de junio de 2024. De los otros dominios registrados desde principios de julio, polyfill.site y polyfillcache.com —este último aún operativo— están siendo monitoreados.
Además, se ha descubierto una red más amplia de dominios potencialmente relacionados, indicando que el incidente podría formar parte de una campaña maliciosa más extensa.
Patchstack, una empresa de seguridad de WordPress, ha advertido sobre los riesgos adicionales que plantea este ataque para los sitios que ejecutan CMS a través de complementos legítimos que se vinculan al dominio fraudulento.
Fuente: https://thehackernews.com