Масштабная атака через сервис Polyfill[.]io

Оригинальная атака на цепочку поставок через сервис Polyfill[.]io от находчивых китайцев. Больше 100 тысяч сайтов, использующих библиотеку, обзавелись перенаправлением на букмекерские и порнографические сайты. Оказывается, домен и учётку на GitHub купила китайская CDN-фирма. И модифицировала скрипт сервиса для редиректа на мобильных устройствах.

Polyfill[.]io — старенький проект, добавляющий современные функции в старые браузеры. Разработчик ещё в феврале призвал убрать зависимость от проекта после продажи не принадлежавшего ему домена, китайцы поломали его ещё тогда, а теперь используют для атаки. Причём вредонос запускается на специфических устройствах, избегает обнаружения и с обфусцированным кодом — так что здесь всё неслучайно. Чем думал мейнтейнер, Джейк Чемпион, продавая проект мутной китайской конторке, неясно. Достаточно ли ему заплатили, чтобы он теперь не жалел, что его имя засветилось в этой сомнительной истории? Полагаю, что нет.

История с Polyfill[.]io получила занятное продолжение. Компания-владелец домена, устроившая масштабную атаку на цепочку поставок, подняла новый на .com и заявила, что её опорочили. Никакого вредоноса с их домена не шло, и вообще их сервисы кэшируются Cloudflare, так что никаких рисков атак через них нет.

Cloudflare же сообщает, что компания добавила её лого на сайт незаконно. Проще говоря, их услугами она не пользуются. Более того, в Cloudflare назвали последствия атаки крайне тревожными: 4% сайтов в интернете — а это десятки миллионов — использовали Polyfill[.]io. Теперь Cloudflare меняет ссылки на безопасные зеркала, Google блокирует редиректы, а безопасники создают инструменты для поиска сайтов со встроенной polyfill[.]io. А в сухом остатке у нас сценарий, в котором ушлый китайский CDN-щик выкупает старенький опенсорс c целью перенаправить десятки миллионов сайтов на букмекеров и порнографию. Кибератаки, которые мы заслужили.