ai30logo500whitecroped

هیچ محصولی در سبد خرید نیست.

ورود
ai30logo500whitecroped

هیچ محصولی در سبد خرید نیست.

حمله زنجیره تامین جاوا اسکریپت Polyfill.io بیش از 100 هزار سایت را تحت تاثیر قرار می دهد

پس از اینکه یک شرکت چینی دامنه را به دست آورد و اسکریپت برای هدایت کاربران به سایت های مخرب و کلاهبرداری تغییر یافت، بیش از 100000 سایت تحت یک حمله زنجیره تامین توسط سرویس Polyfill.io قرار گرفتند.
polyfill کدی است، مانند جاوا اسکریپت، که عملکردی مدرن را به مرورگرهای قدیمی‌تری که معمولاً از آن پشتیبانی نمی‌کنند، اضافه می‌کند. به عنوان مثال، توابع جاوا اسکریپت را اضافه می کند که برای مرورگرهای قدیمی در دسترس نیستند اما در مرورگرهای مدرن وجود دارند.
سرویس polyfill.io توسط صدها هزار سایت استفاده می‌شود تا به همه بازدیدکنندگان اجازه دهد از پایگاه کد یکسانی استفاده کنند، حتی اگر مرورگرهای آنها از ویژگی‌های مدرن مشابه مرورگرهای جدیدتر پشتیبانی نکنند.
حمله زنجیره تامین Polyfill.io
امروز، شرکت امنیت سایبری Sansec هشدار داد که دامنه و سرویس polyfill.io اوایل سال جاری توسط یک شرکت چینی به نام “Funnull” خریداری شد و اسکریپت برای معرفی کدهای مخرب در وب‌سایت‌ها در حمله زنجیره تامین اصلاح شده است.
Sansec توضیح می‌دهد: «با این حال، در فوریه امسال، یک شرکت چینی دامنه و حساب Github را خرید. از آن زمان، این دامنه در حال تزریق بدافزار به دستگاه‌های تلفن همراه از طریق هر سایتی که cdn.polyfill.io را تعبیه می‌کند، دستگیر شد».
زمانی که polyfill.io خریداری شد، توسعه‌دهنده پروژه هشدار داد که او هرگز مالک سایت polyfill.io نیست و همه وب‌سایت‌ها باید فوراً آن را حذف کنند.برای کاهش خطر حمله احتمالی زنجیره تامین، Cloudflare و Fastly آینه های خود را از سرویس Polyfill.io تنظیم می کنند تا وب سایت ها بتوانند از یک سرویس قابل اعتماد استفاده کنند.

توسعه‌دهنده پروژه خدمات Polyfills در توییتی نوشت: «امروزه هیچ وب‌سایتی به هیچ‌یک از پلی‌فیل‌های کتابخانه «http://polyfill.io» نیاز ندارد.
“بیشتر ویژگی های اضافه شده به پلتفرم وب به سرعت توسط همه مرورگرهای اصلی مورد استفاده قرار می گیرند، به استثنای برخی از استثنائات که به طور کلی نمی توان آنها را چند پر کرد، مانند سریال وب و بلوتوث وب.”
در چند ماه گذشته، پیش‌بینی توسعه‌دهنده به حقیقت پیوست و سرویس polyfill.io به polyfill.io.bsclink.cn CNAME تبدیل شد که مالکان جدید آن را حفظ می‌کنند.
زمانی که توسعه دهندگان اسکریپت های cdn.polyfill.io را در وب سایت های خود جاسازی کردند، اکنون کد را مستقیماً از سایت شرکت چینی استخراج کردند.
با این حال، توسعه دهندگان وب سایت دریافتند که مالکان جدید کد مخربی را تزریق می کنند که بازدیدکنندگان را بدون اطلاع صاحب وب سایت به سایت های ناخواسته هدایت می کند.
در نمونه‌ای که Sansec مشاهده کرده است، اسکریپت اصلاح‌شده عمدتاً برای هدایت کاربران به سایت‌های کلاهبرداری، مانند سایت جعلی Sportsbook استفاده می‌شود. این کار را از طریق یک دامنه جعلی تجزیه و تحلیل گوگل (www.googie-anaiytics.com) یا تغییر مسیرهایی مانند kuurza.com/redirect?from=bitget انجام می دهد.
با این حال، محققان می گویند تجزیه و تحلیل کامل اسکریپت اصلاح شده دشوار بوده است، زیرا از هدف گیری بسیار خاصی استفاده می کند و در برابر مهندسی معکوس مقاوم است.
Sansec ادامه داد: “این کد دارای حفاظت خاصی در برابر مهندسی معکوس است و فقط در دستگاه های تلفن همراه خاص در ساعات خاصی فعال می شود.”
“همچنین وقتی یک کاربر ادمین را شناسایی می کند فعال نمی شود. همچنین هنگام یافتن یک سرویس تجزیه و تحلیل وب، اجرا را به تاخیر می اندازد، احتمالاً برای اینکه به آمار ختم نشود.”
در حال حاضر، دامنه cdn.polyfill.io به طور مرموزی به Cloudflare هدایت شده است. با این حال، از آنجایی که سرورهای DNS دامنه بدون تغییر باقی می‌مانند، مالکان می‌توانند به راحتی آن را در هر زمانی به دامنه خود برگردانند.
شرکت امنیت سایبری Leak Signal وب‌سایتی به نام Polykill.io ایجاد کرد که به شما امکان می‌دهد سایت‌ها را با استفاده از cdn.polyfill.io جستجو کنید و اطلاعاتی را در مورد تغییر به گزینه‌های جایگزین ارائه می‌دهد.
BleepingComputer با Cloudflare تماس گرفت تا ببیند آیا آنها در تغییر رکوردهای CNAME نقش داشته اند اما پاسخی دریافت نکرده اند.
گوگل به تبلیغ کنندگان هشدار می دهد
گوگل شروع به اطلاع رسانی به تبلیغ کنندگان در مورد این حمله زنجیره تامین کرده است و به آنها هشدار می دهد که صفحات فرود آنها حاوی کد مخرب است و می تواند بازدیدکنندگان را از سایت مورد نظر بدون اطلاع یا اجازه مالک وب سایت هدایت کند.
گوگل همچنین هشدار می دهد که Bootcss، Bootcdn و Staticfile نیز باعث تغییر مسیرهای ناخواسته می شوند و به طور بالقوه هزاران، اگر نه صدها هزار، سایت های تحت تاثیر حملات زنجیره تامین را اضافه می کنند.
در ایمیل گوگل آمده است: «به نظر می‌رسد کدی که باعث این تغییر مسیرها می‌شود از چند ارائه‌دهنده منابع وب شخص ثالث مختلف از جمله Polyfill.io، Bootcss.com، Bootcdn.net یا Staticfile.org می‌آید».
گزارش‌های مشابه را می‌توانید با جستجوی «polyfill.io» در Google (https://www.google.com/search?q=polyfill.io) پیدا کنید.

نامه گوگل به تبلیغ کنندگان در مورد حمله زنجیره تامین منبع: SanSec
گوگل هشدار می دهد که اگر آنها این تغییر مسیرها را در بررسی های منظم مقاصد تبلیغاتی پیدا کنند، تبلیغات مربوطه را تایید نمی کنند.
در یک پست انجمن پشتیبانی Shopify که توسط SanSec’s Willem de Groot یافت شد، تبلیغ‌کنندگان متعددی گزارش دادند که Google با شناسایی تغییر مسیر “googie-anaiytics” از حدود 15 ژوئن شروع به رد کردن تبلیغات آنها کرد.
سایرین در این تاپیک ادعا کردند که اسکریپت Polyfill پشت این مشکل است و برای مطابقت با خط‌مشی‌های Google Ads باید حذف شود.
به روز رسانی 6/25/24: وقتی از شما خواسته شد اطلاعات بیشتری در مورد این ایمیل ها و حمله زنجیره تامین دریافت کنید، برو

مطالب مشابه
نظرات بسته شده است.