تأثر أكثر من 100000 موقع في هجوم سلسلة التوريد بواسطة خدمة Polyfill.io بعد أن استحوذت شركة صينية على المجال وتم تعديل البرنامج النصي لإعادة توجيه المستخدمين إلى المواقع الضارة والاحتيالية.
أ polyfill عبارة عن تعليمات برمجية، مثل JavaScript، تضيف وظائف حديثة إلى المتصفحات القديمة التي لا تدعمها عادةً. على سبيل المثال، يضيف وظائف JavaScript غير متوفرة للمتصفحات القديمة ولكنها موجودة في المتصفحات الحديثة.
يتم استخدام خدمة polyfill.io بواسطة مئات الآلاف من المواقع للسماح لجميع الزوار باستخدام نفس قاعدة التعليمات البرمجية، حتى لو كانت متصفحاتهم لا تدعم نفس الميزات الحديثة مثل المتصفحات الأحدث.
هجوم سلسلة التوريد Polyfill.io
اليوم، حذرت شركة الأمن السيبراني Sansec من أن نطاق وخدمة polyfill.io كانا ضارين تم شراؤها في وقت سابق من هذا العام تم تطوير هذا البرنامج النصي من قبل شركة صينية تدعى “Funnull” وتم تعديل البرنامج النصي لإدخال تعليمات برمجية ضارة على مواقع الويب في هجوم على سلسلة التوريد.
“ومع ذلك، في فبراير من هذا العام، اشترت شركة صينية النطاق وحساب Github. ومنذ ذلك الحين، تم اكتشاف هذا النطاق وهو يقوم بالحقنالبرمجيات الخبيثة على الأجهزة المحمولة عبر أي موقع يتضمن cdn.polyfill.io،” يشرح سانسيك.
عندما تم شراء polyfill.io، حذر مطور المشروع من أنه لا يملك موقع polyfill.io مطلقًا وأنه يجب على جميع مواقع الويب إزالته على الفور. لتقليل مخاطر الهجمات المحتملة على سلسلة التوريد، كلاود فلير و بسرعة قم بإعداد المرايا الخاصة بهم لخدمة Polyfill.io حتى تتمكن مواقع الويب من استخدام خدمة موثوقة.
“لا يوجد موقع ويب اليوم يتطلب أيًا من polyfills الموجودة في مكتبة http://polyfill.io،” هكذا غرد مطور مشروع خدمة Polyfills الأصلي.
“يتم اعتماد معظم الميزات المضافة إلى منصة الويب بسرعة بواسطة جميع المتصفحات الرئيسية، مع بعض الاستثناءات التي لا يمكن ملؤها بشكل عام على أي حال، مثل Web Serial وWeb Bluetooth.”
على مدى الأشهر القليلة الماضية، تحققت توقعات المطور، وتم تسمية خدمة polyfill.io إلى polyfill.io.bsclink.cn، وهو ما يحتفظ به المالكون الجدد.
عندما قام المطورون بتضمين البرامج النصية cdn.polyfill.io في مواقعهم على الويب، قاموا الآن بسحب التعليمات البرمجية مباشرة من موقع الشركة الصينية.
ومع ذلك، وجد مطورو مواقع الويب أن المالكين الجدد كانوا يقومون بحقن تعليمات برمجية ضارة إعادة توجيه الزوار إلى المواقع غير المرغوب فيها بدون علم مالك الموقع.
في أحد الأمثلة التي شاهدتها Sansec، يتم استخدام البرنامج النصي المعدل بشكل أساسي لإعادة توجيه المستخدمين إلى مواقع الاحتيال، مثل موقع Sportsbook المزيف. ويتم ذلك من خلال نطاق تحليلات Google المزيف (www.googie-anaiytics.com) أو عمليات إعادة التوجيه مثل kuurza.com/redirect?from=bitget.
ومع ذلك، يقول الباحثون إنه كان من الصعب إجراء تحليل كامل للنص المعدل لأنه يستخدم استهدافًا محددًا للغاية ومقاومًا للهندسة العكسية.
وتابع سانسيك: “يتمتع الكود بحماية محددة ضد الهندسة العكسية، ولا يتم تنشيطه إلا على أجهزة محمولة محددة في ساعات محددة”.
“كما أنه لا يتم تنشيطه عندما يكتشف مستخدمًا إداريًا. كما أنه يؤخر التنفيذ عند العثور على خدمة تحليلات الويب، ومن المفترض ألا ينتهي الأمر في الإحصائيات.”
حاليًا، تم إعادة توجيه نطاق cdn.polyfill.io بشكل غامض إلى Cloudflare. ومع ذلك، نظرًا لأن خوادم DNS الخاصة بالنطاق لا تزال دون تغيير، يمكن لأصحاب النطاق بسهولة إعادة توجيهه إلى نطاقاتهم الخاصة في أي وقت.
أنشأت شركة الأمن السيبراني Leak Signal موقعًا إلكترونيًا يسمى Polykill.ioيتيح لك البحث عن المواقع باستخدام cdn.polyfill.io ويوفر معلومات حول التبديل إلى البدائل.
اتصلت BleepingComputer بـ Cloudflare لمعرفة ما إذا كانوا متورطين في التغيير في سجلات CNAME ولكن لم يتم الرد عليهم.
جوجل تصدر تحذيراً للمعلنين
بدأت Google في إخطار المعلنين بشأن هجوم سلسلة التوريد هذا، وحذرتهم من أن صفحاتهم المقصودة تتضمن تعليمات برمجية ضارة ويمكن أن تعيد توجيه الزائرين بعيدًا عن الموقع المقصود دون علم مالك موقع الويب أو إذنه.
تحذر Google أيضًا من أن Bootcss وBootcdn وStaticfile قد تسببوا أيضًا في عمليات إعادة توجيه غير مرغوب فيها، مما قد يضيف الآلاف، إن لم يكن مئات الآلاف، من المواقع المتأثرة بهجمات سلسلة التوريد.
“يبدو أن التعليمات البرمجية التي تسبب عمليات إعادة التوجيه هذه تأتي من عدد قليل من موفري موارد الويب المختلفين التابعين لجهات خارجية بما في ذلك Polyfill.io أو Bootcss.com أو Bootcdn.net أو Staticfile.org،” كما تقرأ رسالة البريد الإلكتروني الواردة من Google.
يمكن العثور على تقارير مماثلة من خلال البحث عن “polyfill.io” على Google (https://www.google.com/search?q=polyfill.io).
المصدر: سانسيك
وتحذر Google من أنه إذا عثروا على عمليات إعادة التوجيه هذه أثناء عمليات التحقق المنتظمة من وجهات الإعلانات، فسوف يرفضون الإعلان ذي الصلة.
في Shopify مشاركة منتدى الدعم وجدت من قبل SanSecويليم دي جروت، أفاد العديد من المعلنين أن Google بدأت في رفض إعلاناتهم في 15 حزيران (يونيو) تقريبًا عند اكتشاف إعادة التوجيه “googie-anaiytics”.
ادعى آخرون في الموضوع أن البرنامج النصي Polyfill كان وراء المشكلة وأنه يجب إزالته للامتثال لسياسات إعلانات Google.
التحديث بتاريخ 25/06/24: عندما طلبنا المزيد من المعلومات حول رسائل البريد الإلكتروني هذه والهجوم على سلسلة التوريد، أرسلت لنا Google البيان التالي.
قالت Google لموقع BleepingComputer: “إن حماية مستخدمينا هي أولويتنا القصوى. لقد اكتشفنا مؤخرًا مشكلة أمنية قد تؤثر على مواقع الويب التي تستخدم مكتبات معينة تابعة لجهات خارجية”.
“لمساعدة المعلنين المحتمل تأثرهم على تأمين مواقعهم على الويب، قمنا بمشاركة المعلومات بشكل استباقي حول كيفية التخفيف من المشكلة بسرعة.”
التحديث بتاريخ 26/06/24: تمت إضافة الوقت التقريبي لبدء Google في رفض الإعلانات المرتبطة بهذه الحادثة والمعلومات الموجودة على موقع PolyKill.io.