Polyfill[.]io-Angriff zieht weitere Kreise, auch in großen Unternehmen
Die Supply-Chain-Attacke auf Polyfill[.]io ist größer als gedacht. Laut neuen Erkenntnissen von Censys binden über 380.000 Hosts ein Polyfill-Skript ein, das auf die bösartige Domain verweist (Stand: 2. Juli 2024). Verweise auf "https://cdn.polyfill[.]io" oder "https://cdn.polyfill[.]com" in ihren HTTP-Antworten sind hier inkludiert.
Laut Censys befinden sich etwa 237.700 betroffene Hosts im Hetzner-Netzwerk (AS24940), hauptsächlich in Deutschland. „Das ist nicht überraschend – Hetzner ist ein beliebter Webhosting-Dienst, den viele Website-Entwickler nutzen,“ erklärte Censys. Eine weitere Analyse der betroffenen Hosts ergab, dass Domains bekannter Unternehmen wie WarnerBros, Hulu, Mercedes-Benz und Pearson auf den fraglichen bösartigen Endpunkt verweisen.
Details des Angriffs wurden Ende Juni 2024 bekannt, als Sansec darauf hinwies, dass der auf der Polyfill-Domain gehostete Code so verändert worden war, dass er Benutzer auf Websites mit Erwachsenen- und Glücksspielthemen umleitete. Die Umleitungen fanden nur zu bestimmten Tageszeiten und bei Besuchern, die bestimmte Kriterien erfüllten, statt. Das Verhalten wurde angeblich eingeführt, nachdem die Domain und das zugehörige GitHub-Repository im Februar 2024 an ein chinesisches Unternehmen namens Funnull verkauft wurden.
Domain wurde gesperrt
Diese Entwicklungen haben den Domain-Registrar Namecheap dazu veranlasst, die ursprüngliche Domain zu sperren. Content Delivery Networks wie Cloudflare ersetzen automatisch Polyfill-Links durch sichere Alternativ-Domains, und Google blockiert Anzeigen für Websites, welche die betroffene Domain einbetten.
Die Betreiber versuchten, den Dienst unter der neuen Domain polyfill[.]com neu zu starten, doch auch diese wurde am 28. Juni 2024 von Namecheap abgeschaltet. Von zwei weiteren seit Anfang Juli registrierten Domains – polyfill[.]site und polyfillcache[.]com – ist nur noch polyfillcache[.]com aktiv.
Umfangreiches Netzwerk aufgedeckt
Außerdem wurde ein umfangreicheres Netzwerk potenziell verbundener Domains wurde aufgedeckt, darunter bootcdn[.]net, bootcss[.]com, staticfile[.]net, staticfile[.]org, unionadjs[.]com, xhsbpza[.]com, union.macoms[.]la und newcrbpc[.]com. Diese Domains stehen mit den Betreibern von Polyfill in Verbindung, was auf eine breitere bösartige Kampagne hinweisen könnte.
„Eine dieser Domains, bootcss[.]com, wurde bei Aktivitäten beobachtet, die der Polyfill[.]io-Attacke ähneln. Klare Hinweise dafür lassen sich bis in den Juni 2023 zurückverfolgen,“ so Censys. Zudem wurden 1,6 Millionen öffentlich zugängliche Hosts entdeckt, die auf diese verdächtigen Domains verlinken. „Es wäre nicht völlig unvernünftig anzunehmen, dass derselbe böswillige Akteur, der für den polyfill.io-Angriff verantwortlich ist, diese anderen Domains in Zukunft für ähnliche Aktivitäten nutzen könnte,“ fügte Censys hinzu.
Die Entwicklung folgte einer Warnung des WordPress-Sicherheitsunternehmens Patchstack. Dieses hatte auf die weitreichenden Risiken hingewiesen, die durch den Polyfill-Angriff für Websites entstehen, die das Content-Management-System (CMS) nutzen. Viele legitime Plugins verweisen auf die betrügerische Domain, was die Gefahr für diese Websites erhöht.