Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Attacco alla Supply Chain: Il servizio Polyfill.js Reindirizza 110.000 Siti Web verso Truffe Online!

RHC Dark Lab : 27 Giugno 2024 14:19

Google ha intrapreso azioni per bloccare gli annunci su siti di e-commerce che utilizzano il servizio Polyfill.io dopo che il dominio è stato acquisito da un’azienda cinese, che ha poi modificato la libreria JavaScript “polyfill.js” per reindirizzare gli utenti verso siti dannosi e fraudolenti.

Un rapporto di Sansec pubblicato martedì 25 giugno ha rilevato che oltre 110.000 siti web che incorporano questa libreria sono stati coinvolti nell’attacco alla supply chain.

Dettagli della Violazione

Polyfill.io è un servizio che fornisce una libreria JavaScript chiamata Polyfill.js. Questa libreria è utilizzata dai siti web per garantire la compatibilità del loro codice con diversi browser, specialmente quelli più vecchi che non supportano le nuove funzionalità JavaScript.

CORSO NIS2 : Network and Information system 2
La direttiva NIS2 rappresenta una delle novità più importanti per la sicurezza informatica in Europa, imponendo nuovi obblighi alle aziende e alle infrastrutture critiche per migliorare la resilienza contro le cyber minacce. Con scadenze stringenti e penalità elevate per chi non si adegua, comprendere i requisiti della NIS2 è essenziale per garantire la compliance e proteggere la tua organizzazione.

Accedi All'Anteprima del Corso condotto dall'Avv. Andrea Capelli sulla nostra Academy e segui l'anteprima gratuita.
Per ulteriori informazioni, scrivici ad [email protected] oppure scrivici su Whatsapp al 379 163 8765 

Supporta RHC attraverso:


Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

A febbraio, sono emerse preoccupazioni dopo la sua acquisizione da parte di Funnull, una società cinese specializzata in distribuzione di contenuti (Content Delivery Network). 

Dopo l’acquisizione, l’azienda cinese ha modificato il codice della libreria Polyfill.js in modo da reindirizzare gli utenti a siti web dannosi o fraudolenti. Questo tipo di attacco è chiamato: Supply Chain Attacks,una categoria specifica di attacchi che prende di mira la catena di approvvigionamento di un’organizzazione. 

Andrew Betts, colui che ha sviluppato e lanciato il progetto in origine, ha esortato immediatamente i gestori dei siti web a rimuovere la libreria dai loro siti, affermando che “nessun sito web oggi ha bisogno dei polyfill presenti nella libreria polyfill[.]io”, questo perchè la maggior parte delle nuove funzionalità della piattaforma web sono ormai adottate da tutti i principali browser. Alcune nuove funzionalità, come Web Serial e Web Bluetooth, non possono essere gestite tramite polyfill, e quindi non trarrebbero beneficio dall’uso di Polyfill.io.

Questa situazione ha spinto fornitori di infrastrutture web come Cloudflare e Fastly a fornire endpoint alternativi per facilitare la migrazione da polyfill[.]io. Questi endpoint alternativi non sono altro che URL da cui è possibile caricare la libreria Polyfill.js da una fonte sicura e affidabile, sostituendo quella compromessa.

Post Twitter di Andrew Betts 

La società di sicurezza e-commerce olandese ha rilevato che il dominio “cdn.polyfill[.]io” è stato utilizzato per iniettare malware, indirizzando gli utenti verso siti di scommesse sportive e pornografici.

“Il codice è protetto contro il reverse engineering e si attiva solo su specifici dispositivi mobili in determinate ore”, ha spiegato. 

Dunque, il codice malevolo iniettato è stato protetto contro il reverse engineering, utilizzando tecniche di offuscamento avanzate.

Nel dettaglio:

  • Il malware si attiva solo su specifici dispositivi mobili in determinate ore, questo comportamento può rendere più difficile la rilevazione. 
  • Non si attiva quando rileva che l’utente è un amministratore poiché potrebbero notare il comportamento anomalo. 
  • Ritarda l’esecuzione in presenza di servizi di analisi web. Questi servizi raccolgono dati sul comportamento degli utenti e sulle prestazioni del sito, e se il malware si attivasse immediatamente, potrebbe essere facilmente individuato dalle anomalie generate nei dati di analisi. Per questo motivo, il malware attende un momento più opportuno per attivarsi, quando è meno probabile che venga notato.

Queste tecniche sofisticate rendono il malware particolarmente insidioso, perché riesce a compromettere i siti web e a danneggiare gli utenti in modo furtivo e mirato.

Intervento di Google

Google ha deciso di bloccare gli annunci per i siti di e-commerce che utilizzano Polyfill.io. Questo è un tentativo di proteggere gli utenti da potenziali truffe e danni che potrebbero derivare dall’interazione con questi siti compromessi.

Google letter to advertisers about supply chain attack

Violazione Correlata 

La società di sicurezza c/side di San Francisco ha emesso un avviso simile a quello della società olandese, segnalando che i gestori del dominio compromesso cdn.polyfill[.]io hanno aggiunto un’intestazione di sicurezza fornita da Cloudflare tra il 7 e l’8 marzo 2024. L’intestazione di sicurezza potrebbe essere un tentativo di proteggere ulteriormente il sito o di camuffare l’attività malevola.

Segue poi un avviso relativo ad una grave vulnerabilità di sicurezza, identificata come CVE-2024-34102 che colpisce siti che utilizzano Adobe Commerce e Magento, due popolari piattaforme di e-commerce. Questa vulnerabilità ha un punteggio CVSS di 9.8 su 10, indicando un livello di gravità estremamente alto. Nonostante siano disponibili delle patch per correggere questa vulnerabilità dall’11 giugno 2024, molti siti non le hanno ancora applicate. La vulnerabilità consente agli attaccanti di leggere file privati sui server colpiti, questi file possono contenere informazioni sensibili. Sansec ha denominato la catena di exploit che sfrutta questa vulnerabilità CosmicSting.

Se combinata con un recente bug in Linux noto come iconv (CVE-2024-2961), questa vulnerabilità diventa ancora più pericolosa. Il bug iconv in Linux consente l’esecuzione di codice remoto, il che significa che un attaccante può eseguire comandi arbitrari sul server colpito, trasformando la situazione in un incubo di sicurezza. È stato poi scoperto che terze parti possono ottenere accesso amministrativo all’API senza bisogno di sfruttare il bug iconv (CVE-2024-2961), aumentando la gravità del problema.

RHC Dark Lab
RHC Dark Lab è un gruppo di esperti della community di Red Hot Cyber dedicato alla Cyber Threat Intelligence guidato da Pietro Melillo. Partecipano al collettivo, Sandro Sana, Alessio Stefan, Raffaela Crisci, Vincenzo Di Lello, Edoardo Faccioli e altri membri che vogliono rimanere anonimi. La loro missione è diffondere la conoscenza sulle minacce informatiche per migliorare la consapevolezza e le difese digitali del paese, coinvolgendo non solo gli specialisti del settore ma anche le persone comuni. L'obiettivo è diffondere i concetti di Cyber Threat Intelligence per anticipare le minacce.

Lista degli articoli

Articoli in evidenza

Un Ospedale Italiano è stato Violato! I Video dei Pazienti e delle Sale Operatorie Sono Online!

“Ciao Italia! L’attacco all’ospedale italiano è riuscito. Ci siamo stabiliti nel sistema, caricando un exploit sul server, ottenendo molte informazioni utili dalle schede dei...

Coca-Cola Emirati Arabi sotto attacco: Everest Ransomware colpisce tramite infostealer

il 22 maggio 2025, è emersa la notizia di un attacco ransomware ai danni della divisione Emirati Arabi della Coca-Cola Company, rivendicato dal gruppo Everest. La compromissione sarebbe avvenuta ...

“Italia, Vergognati! Paese Mafioso!”. Insulti di Nova all’Italia dopo l’Attacco al Comune di Pisa

I black hacker di NOVA tornano a colpire, e questa volta con insulti all’Italia dopo la pubblicazione dei dati del presunto attacco informatico al Comune di Pisa. Dopo aver rivendicato l’...

Europol Operazione RapTor: 270 arresti e 184 milioni sequestrati. Crollano i mercati del Dark Web

Un’operazione globale di contrasto coordinata dall’Europol ha inferto un duro colpo alla criminalità underground, con 270 arresti tra venditori e acquirenti del dark web in dieci pa...

Scoperto il primo bug 0day da una AI sul kernel Linux! Un punto di svolta nel bug hunting?

Una vulnerabilità zero-day nel kernel Linux, è stata scoperta utilizzando il modello o3 di OpenAI. Questa scoperta, alla quale è stata assegnata la vulnerabilità CVE-2025-37899, se...