Mer enn 100.000 nettsteder er berørt i et såkalt forsyningskjedeangrep etter at et kinesisk selskap kjøpte og overtok domenet polyfill.io. Det skriver Bleeping Computer.
En polyfill er programkode som gjør det mulig for utviklere å bruke moderne funksjonalitet i eldre nettlesere som i utgangspunktet ikke støtter det. Polyfill.io er en landingsside for et bibliotek med polyfills laget av utvikleren Andrew Betts.
Ifølge Bleeping Computer har de kinesiske angriperne modifisert scriptet som enkelte nettsteder laster inn fra cdn.polyfill.io.
Dermed vil nettsteder som bruker polyfill.io kunne laste inn ondsinnet kode.
Utvikleren: – Fjern det umiddelbart!
Det er det kinesiske selskapet "Funnull" som har kjøpt opp polyfill.io-domenet. Selskapet ble senere ifølge Bleeping Computer tatt på fersken da de injiserte skadevare på mobile enheter som besøker nettsteder som henter inn polyfill-kode fra cdn.polyfill.io.
I februar i år gikk polyfill-utvikleren Andrew Betts ut og advarte om at han aldri har eid polyfill.io-nettstedet, selv om han har laget selve biblioteket. Han oppfordret alle som bruker polyfill.io til å fjerne dette umiddelbart.
If your website uses https://t.co/3xHecLPXkB, remove it IMMEDIATELY.
— Andrew Betts (@triblondon) February 25, 2024
I created the polyfill service project but I have never owned the domain name and I have had no influence over its sale. https://t.co/GYt3dhr5fI
Det gikk bare kort tid fra advarselen til polyfill.io-tjenesten ble omdirigert til det kinesiske domenet polyfill.io.bsclink.cn, som de nye eierne eier.
For å redusere risikoen for forsyningskjedeangrep har imidlertid både Cloudflare og Fastly satt opp sine egne versjoner av polyfill.io. Bruker du cdn.polyfill.io kan du for eksempel bytte ut med cdnjs.cloudflare.com/polyfill for å være på den trygge siden.
Norske virksomheter berørt
Når kode24 sjekker, ser det ut til at cdn.polyfill.io er omdirigert til Cloudflares versjon – men har du "cdn.polyfill.io" noe som helst sted i koden din bør du uansett for sikkerhets skyld fjerne det.
En sjekk via kildekodesøkemotoren publicwww.com viser at det totalt er 110.782 nettsider i verden som laster inn script fra cdn.polyfill.io, inkludert 251 norske – blant annet rikstv.no, stortinget.no og smb.no:
kode24 har bedt om kommentarer fra noen av de berørte norske nettstedene.
Ettersom cdn.polyfill.io er omdirigert til Cloudflares versjon, er det kanskje ingen umiddelbar fare – men vi vil likevel tro det beste er å fjerne det. Og generelt bør man som en tommelfingerregel være kritisk til hvilke skript man laster fra servere man selv ikke har kontroll over.
Google advarer
Google har nå begynt å advare selskaper som annonserer via deres plattform, der de oppdager at annonsene lenker til en side som inneholder lenke til cdn.polyfill.io.
Det advares også mot andre biblioteker, blant annet bootcss.com.
Ifølge Google kan bruk av disse bibliotekene føre til at brukerne blir videresendt til et annet nettsted enn nettstedet de hadde til hensikt å besøke.
Ingen trenger det
Andrew Betts skriver at det er ingen grunn til at noen i det hele tatt skal behøve å bruke polyfill-biblioteket han i sin tid lagde.
Det meste av funksjonalitet som legges til i web-plattformen blir raskt tatt i bruk av alle de største nettleserne, argumenterer han. Og det som ikke blir tatt i bruk kan ofte ikke "polyfilles" uansett.
– Hvis du eier en nettside, betyr det å laste inn et script at du stoler veldig på en tredjepart. Kan du faktisk stole på dem? spør Betts på X.