Смена владельца библиотеки Polyfill привела к подстановке вредоносного кода на 110 тысяч сайтов
Более 110 тысяч сайтов, использующих открытую JavaScript-библиотеку Polyfill для обеспечения совместимости со старыми версиями браузеров, стали жертвой вредоносных изменений, внесённых в код библиотеки новым владельцем проекта. В библиотеку, загружаемую на сайты через домен cdn.polyfill.io, был встроен вредоносный код, перенаправляющий пользователя на мошеннические сайты (например, googie-anaiytics.com), букмекерские конторы и online-казино.
Проект Polyfill в феврале был продан компании Funnull из Китая, которая получила доступ к учётной записи на GitHub и сайту polyfill.io. Спустя несколько месяцев после приобретения новый владелец организовал жульническую схему монетизации, связанную с перенаправлением части пользователей на сомнительные сайты. Перенаправление срабатывало с некоторой вероятностью, в определённые часы и при соблюдении условий, таких как открытие сайта с мобильного телефона и отсутствие Cookie, сигнализирующих, что страницу открыл администратор сайта. При выявлении на сайте систем web-аналитики, редирект задерживался на несколько секунд, чтобы не засветиться в статистике таких систем.
Примечательно, что новый владелец удаляет из GitHub любые жалобы, указывающие на подозрительную активность или смену владельца, и, видимо, рассчитывает на то, что пользователи посчитают автоматический переход инициативой авторов изначально открываемых сайтов.
Пользователям Polyfill рекомендуется как можно скорее удалить код для загрузки библиотеки через хост cdn.polyfill.io. Отмечается, что в современных реалиях потребности в Polyfill больше нет, так как все основные браузеры в должной мере поддерживают Web API (Polyfill динамически оценивает текущий браузер по заголовку User Agent и для устаревших браузеров генерирует функции с реализацией недостающих методов, свойств и API).
Те, кому Polyfill по-прежнему необходим, могут воспользоваться вариантами библиотеки, распространяемыми компаниями Fastly и Cloudflare, или могут использовать на своём сервере локальную копию на основе кода из репозитория с форком, созданным изначальным автором проекта. Зеркала были созданы в феврале из-за сомнений в благонадёжности нового владельца домена polyfill.io.
Источник: https://www.opennet.ru/opennews/art.shtml?num=61440