384.000 sitios extraen código de una biblioteca de códigos dudosos recientemente adquirida por una empresa china

Heaven32 Comments
384.000 sitios extraen código de una biblioteca de códigos dudosos recientemente adquirida por una empresa china
384.000 sitios extraen código de una biblioteca de códigos dudosos recientemente adquirida por una empresa china

imágenes falsas

Más de 384.000 sitios web tienen enlaces a un sitio que fue descubierto la semana pasada realizando un ataque a la cadena de suministro que redirigió a los visitantes a sitios maliciosos, dijeron los investigadores.

Durante años, el código JavaScript, alojado en polyfill[.]com, era un proyecto legítimo de código abierto que permitía a los navegadores más antiguos manejar funciones avanzadas que no eran compatibles de forma nativa. Al vincular a cdn.polyfill[.]io, los sitios web podían garantizar que los dispositivos que utilizaban navegadores antiguos pudieran reproducir el contenido en formatos más nuevos. El servicio gratuito era popular entre los sitios web porque todo lo que tenían que hacer era insertar el enlace en sus sitios. El código alojado en el sitio polyfill hacía el resto.

El poder de los ataques a la cadena de suministro

En febrero, la empresa Funnull, con sede en China, adquirió el dominio y la cuenta de GitHub que alojaba el código JavaScript. El 25 de junio, investigadores de la empresa de seguridad Sansec reportado El código alojado en el dominio polyfill había sido modificado para redirigir a los usuarios a sitios web con temática de juegos de azar y para adultos. El código fue diseñado deliberadamente para enmascarar las redirecciones al ejecutarlas solo en ciertos momentos del día y solo contra visitantes que cumplier an con criterios específicos.

La revelación provocó llamados de toda la industria para tomar medidas. Dos días después de que se publicara el informe de Sansec, el registrador de dominios Namecheap suspendió el dominio, una medida que impidió efectivamente que el código malicioso se ejecutara en los dispositivos de los visitantes. Incluso entonces, las redes de distribución de contenido como Cloudflare comenzaron a Reemplazo automático de enlaces de pollyfill

con dominios que conducen a sitios espejo seguros. Google bloqueó los anuncios de sitios que incorporan Polyfill[.]Dominio io. El bloqueador de sitios web uBlock Origin agregó el dominio a su lista de filtros. Y Andrew Betts, el creador original de Polyfill.io, instó a los propietarios de sitios web a eliminar los enlaces a la biblioteca de inmediato.

Hasta el martes, exactamente una semana después de que se revelara el comportamiento malicioso, 384.773 sitios seguían enlazando al sitio, según los investigadores de la empresa de seguridad Censys. Algunos de los sitios estaban asociados a empresas importantes como Hulu, Mercedes-Benz y Warner Bros. y al gobierno federal. Los hallazgos subrayan el poder de los ataques a la cadena de suministro, que pueden propagar malware a miles o millones de personas simplemente infectando una fuente común de la que todos dependen.

“Desde que se suspendió el dominio, el ataque a la cadena de suministro se ha detenido”, escribió Aidan Holland, miembro del equipo de investigación de Censys, en un correo electrónico. “Sin embargo, si se reactivara la suspensión del dominio o se transfiriera, podría reanudar su comportamiento malicioso. Mi esperanza es que NameCheap haya bloqueado correctamente el dominio y haya evitado que esto ocurra”.

Además, el análisis de Internet realizado por Censys encontró más de 1,6 millones de sitios vinculados a uno o más dominios que fueron registrados por la misma entidad propietaria de polyfill.[.]io. Al menos uno de los sitios, bootcss[.]com, fue observado en junio de 2023 realizando acciones maliciosas similares a las de polyfill. Ese dominio y otros tres (bootcdn[.]red, archivo estático[.]net y archivo estático[.]org—también filtraron la clave de autenticación de un usuario para acceder a una interfaz de programación proporcionada por Cloudflare.

Los investigadores de Censys escribieron:

Hasta el momento, este dominio (bootcss.com) es el único que muestra signos de posible malicia. La naturaleza de los otros puntos finales asociados sigue siendo desconocida y evitamos especular. Sin embargo, no sería del todo descabellado considerar la posibilidad de que el mismo actor malicioso responsable del ataque a polyfill.io pueda explotar estos otros dominios para actividades similares en el futuro.

De los 384.773 sitios que aún enlazan a polyfill[.]com, 237.700, o casi el 62 por ciento, estaban ubicados dentro del servidor web Hetzner, con sede en Alemania.

Censys descubrió que varios sitios importantes, tanto del sector público como del privado, se encontraban entre los que enlazaban a polyfill. Entre ellos se encontraban:

  • Warner Bros. (www.warnerbros.com)
  • Hulu (www.hulu.com)
  • Mercedes-Benz (shop.mercedes-benz.com)
  • Pearson (biblioteca digital-qa.pearson.com, biblioteca digital-stg.pearson.com)
  • ns-static-assets.s3.amazonaws.com

La dirección amazonaws.com fue el dominio más común asociado con los sitios que aún enlazaban al sitio polyfill, una indicación de su uso generalizado entre los usuarios del alojamiento de sitios web estáticos S3 de Amazon.

Censys también encontró 182 dominios que terminan en .gov, lo que significa que están afiliados a una entidad gubernamental. Uno de esos dominios, feedthefuture[.]gov—está afiliado al gobierno federal de los EE. UU. Un desglose de los 50 sitios más afectados es aquí.

Los intentos de comunicarse con representantes de Funnull para obtener comentarios no tuvieron éxito.