Le site proposait des polyfills, c'est-à-dire des bouts de code JavaScript utiles qui ajoutent aux anciens navigateurs des fonctionnalités intégrées dans les versions plus récentes. Ces derniers facilitent la vie des développeurs, car en utilisant des polyfillers, ils savent que leur code web fonctionnera sur un plus grand nombre de navigateurs. Les récents rapports font état de ce que polyfill.io diffuse désormais du code suspect caché dans ces scripts, ce qui signifie que toute personne visitant un site web utilisant ce domaine se retrouvera à exécuter des éléments potentiellement dangereux dans son navigateur.
Hats off to @renchap who originally called out the soon-to-unfold catastrophy of the JavaScript polyfill library and website polyfill[.]io 👏
— Liran Tal (@liran_tal) June 27, 2024
parts of the polyfill malware code: pic.twitter.com/7tgDvsNARm
Google a commencé à bloquer les publicités pour les sites web qui utilisent le code à problème, vraisemblablement pour réduire le trafic vers ces sites et le nombre de victimes potentielles. Les propriétaires des sites concernés ont également été alertés par le géant de l'internet.
« Nous avons récemment détecté un problème de sécurité susceptible d'affecter les sites web utilisant certaines bibliothèques tierces », a déclaré un porte-parole de Google. « Afin d'aider les annonceurs potentiellement concernés à sécuriser leurs sites web, nous avons partagé de manière proactive des informations sur la manière d'atténuer rapidement le problème.
Les sites qui intègrent des scripts empoisonnés provenant de polyfill.io et aussi de bootcss.com peuvent finir par rediriger inopinément les visiteurs loin de l'emplacement prévu, et les envoyer vers des sites indésirables », a indiqué Google aux annonceurs.
Google is now sending a warning about loading 3rd party JS from domains like polyfill.io bootcss.com bootcdn.net & staticfile.org that may do nasty things to your users if your site uses JS from these domains. pic.twitter.com/EUVAgbFXJn
— Michal Špaček (@spazef0rze) June 25, 2024
Plus de 100 000 sites web contiennent déjà ces scripts hostiles, selon l'équipe d'experts en sécurité de Sansec, qui a affirmé que Funnull, un opérateur CDN présumé chinois qui a acheté le domaine polyfill.io et le compte GitHub associé en février, a depuis utilisé le service dans une attaque de la chaîne d'approvisionnement.
Polyfill.io est utilisé par la bibliothèque universitaire JSTOR ainsi que par Intuit, le Forum économique mondial et bien d'autres encore.
Depuis février, « ce domaine a été surpris en train d'injecter des logiciels malveillants sur des appareils mobiles via n'importe quel site qui intègre cdn.polyfill.io », a averti Sansec qui a ajouté toute plainte concernant l'activité malveillante disparaissait rapidement du dépôt GitHub.
« Le code polyfill est généré de manière dynamique sur la base des en-têtes HTTP, de sorte que de multiples vecteurs d'attaque sont probables », a noté Sansec, ajoutant que le code peut, par exemple, rediriger les utilisateurs mobiles vers un site de paris sportifs utilisant un faux domaine Google Analytics.
En fait, Andrew Betts, qui a créé le projet open source Polyfill au milieu des années 2010, a déclaré plus tôt cette année qu'il ne fallait pas utiliser polyfill.io du tout. En février, il a déclaré qu'il n'avait rien à voir avec le transfert du nom de domaine et du compte GitHub vers le mystérieux acheteur chinois et a invité tout le monde à supprimer son code de leurs pages web par précaution à la suite du changement de propriétaire.
Et vous ?
Quelles approches de développement des sites web mettez-vous à contribution pour éviter de vous retrouver dans de tels cas de figure ?
Voir aussi :
Vulnérabilités Meltdown et Spectre : état des lieux des navigateurs Chrome, Mozilla et Edge face au vecteur d'exploitation JavaScript
Sept nouvelles variantes de Meltdown et Spectre ont été découvertes par des chercheurs en sécurité Intel ne se montre pas inquiet
Bogues critiques touchant les CPU modernes : Google a informé Intel depuis des mois et confirmé qu'ils affectent plus Intel et ARM qu'AMD
Firefox 58 officiellement disponible avec des gains de performance la version Android embarque le support des applications Web progressives et FLAC