Mudança maliciosa no site do Polyfill afeta mais de 100.000 websites

Publicado em por

Mudança maliciosa no site do Polyfill afeta mais de 100.000 websites

Muitos criadores de sites usam um pequeno código JavaScript, conhecido como “polyfill”, que é capaz de converter algumas das funcionalidades dos navegadores mais recentes no mercado para serem compatíveis com versões antigas dos mesmos.

No entanto, recentemente uma troca de domínios e mudança de titular do mesmo pode ter causado com que mais de 100.000 websites pela internet estivessem a distribuir malware e a direcionar utilizadores para sites de esquemas e burlas.

O domínio IO do pollyfill foi descoberto como estando a distribuir versões modificadas deste código, contendo partes que poderiam direcionar os utilizadores para conteúdos de terceiros ou para possíveis esquemas.

O domínio foi usado durante vários anos por quem criava websites onde este JavaScript era usado, e isso inclui o domínio base da CDN onde o JavaScript se encontrava. Portanto, muitos websites mantiveram o mesmo durante os anos para carregar os conteúdos.

No entanto, no início deste ano, a empresa chinesa “Funnull”, que era desconhecida até então, adquiriu os direitos do domínio. Agora sabe-se que quem controla o domínio começou a disponibilizar versões modificadas do código, contendo redirecionamentos para sites de spam.

Em Fevereiro de 2024, Andrew Betts, o criador original do polyfill, alertou para os programadores não usarem o domínio .IO para carregar o código, e invés disso, usarem os seus próprios servidores ou plataformas alternativas e seguras. No entanto, tendo em conta a antiguidade de muitos sites, ainda existem diferentes plataformas onde o domínio original foi mantido.

Investigadores da Sansec confirmaram a semana passada que o script começou a carregar agora conteúdos maliciosos de redirecionamento. Ou seja, mais de 100.000 websites pela internet que estariam a usar o script sobre o domínio IO começaram a carregar agora a versão modificada do mesmo.

Além do impacto direto para sites que usam este script, existem ainda dependências de diferentes programas que continuam a usar as versões maliciosas do script agora a ser carregado.

Embora o script atualmente esteja a carregar uma versão segura do mesmo na plataforma da Cloudflare, os registos podem novamente ser alterados a qualquer momento para uma versão maliciosa.

Caso tenha um site onde este script esteja a carregar, o recomendado será modificar o mesmo para uma versão segura, em plataformas como o CDNJS ou JSDelivr.