Ataque a la cadena de suministro contra Polyfill JS afecta a más de 100 mil sitios

 (sansec.io)
8 puntos por GN⁺ 2024-06-26 | 3 comentarios | Compartir por WhatsApp
  • Polyfill.js es una biblioteca de código abierto para dar soporte a navegadores antiguos y se usa en más de 100 mil sitios
  • En febrero de este año, una empresa china adquirió el dominio y la cuenta de Github de Polyfill.js, y después comenzó a inyectar malware a dispositivos móviles a través de ese dominio
  • Actualización del 25 de junio: Google ya comenzó a bloquear los anuncios de Google de sitios de comercio electrónico que usan polyfill.io
  • Método de ataque: el código generado dinámicamente con base en los encabezados HTTP solo se activa en ciertos dispositivos móviles y en horarios específicos, y retrasa su ejecución si detecta usuarios administradores o servicios de analítica web
  • Ejemplo del malware: redirige a usuarios móviles a sitios de apuestas deportivas a través de un dominio falso de Google Analytics (www. googie-anaiytics .com).
  • Medidas de respuesta: el autor original de Polyfill.js recomienda dejar de usar esta biblioteca porque ya no es necesaria en los navegadores modernos, y Fastly y Cloudflare ofrecen alternativas confiables.
  • Este incidente es un caso típico de ataque a la cadena de suministro.
  • Herramientas adicionales: el servicio gratuito de monitoreo CSP de Sansec, Sansec Watch, y el escáner de backend eComscan ayudan a detectar Polyfill.io

La opinión de GN⁺

  • Riesgo de los ataques a la cadena de suministro: este caso muestra claramente los riesgos de seguridad que pueden surgir cuando un proyecto de código abierto es adquirido. En particular, mientras más usada sea una biblioteca, mayor puede ser el impacto.
  • Uso de bibliotecas alternativas: es importante usar alternativas confiables como Fastly y Cloudflare. Además, si el soporte para navegadores modernos es suficiente, vale la pena considerar dejar de usar Polyfill.js.
  • Necesidad de monitoreo de seguridad: es importante usar herramientas de seguridad como los servicios de monitoreo CSP para vigilar en tiempo real los cambios en el código.
  • Detección de administradores y ejecución diferida: el hecho de que el malware detecte administradores o servicios de analítica y retrase su ejecución es un intento de evadir soluciones de seguridad, por lo que se necesitan medidas para responder a esto.
  • Educación y concientización: es importante que desarrolladores y operadores reconozcan los riesgos de los ataques a la cadena de suministro, y que se mantengan al día con capacitación periódica y las tendencias más recientes en seguridad.

Lecturas relacionadas

3 comentarios

 
xguru 2024-06-30

Dicen que se deben bloquear no solo el dominio polyfill.io, sino también bootcdn.net, bootcss.com, staticfile.net, staticfile.org, unionadjs.com, xhsbpza.com, union.macoms.la y newcrbpc.com.
 
humblebee 2024-06-26

https://es.news.hada.io/topic?id=15118

Hace alrededor de un mes vi que este tema se trató en GN y lo he estado siguiendo con interés. Incluso si se aclara en cierta medida la causa del problema, da la impresión de que, durante el tiempo necesario para la contención y las medidas posteriores, muchos sitios seguirán inevitablemente expuestos a los ataques. Me preocupa que los incidentes de seguridad sigan aumentando y que la escasez de expertos en seguridad se agrave todavía más por un tiempo.
 
GN⁺ 2024-06-26
Opiniones de Hacker News

  • Riesgos de usar un CDN público: usar un CDN público puede permitir la inyección de malware en dispositivos móviles. Para reducir esto se puede usar SRI (Subresource Integrity), pero la mejor solución es alojarlo directamente a través de tu propio servicio en lugar de depender del CDN.

  • Perspectiva de teoría de juegos: el mantenimiento de software de código abierto tiene que dar soporte a muchos sitios sin recibir compensación, y eso al final puede provocar problemas de seguridad.

  • Contenido externo en The Washington Post y Fox News: ambos sitios web incluyen mucho contenido externo, y eso puede convertirse en un objetivo de ataque.

  • Predicción de Cloudflare: Cloudflare ya había anticipado este tipo de problema y ofrece soluciones para mitigarlo.

  • Opinión del creador de Polyfill Service: creó el proyecto Polyfill Service, pero no tenía la propiedad del dominio, y ahora ese dominio está inyectando malware. Recomienda dejar de usarlo de inmediato.

  • Un problema previsible: era un problema que ya se veía venir desde hace 4 meses, y más personas debieron haberlo reconocido y tomado medidas.

  • Redirección a sitios de apuestas deportivas: en algunos casos se redirige a los usuarios a sitios que no desean visitar, y eso puede resultar efectivo con ciertos usuarios.

  • Falta de mención de SRI: sorprende que el artículo no mencione SRI. Es una solución de bajo costo y alta efectividad.

  • Conversaciones con desarrolladores: muchos desarrolladores se muestran indiferentes ante el secuestro de CDN, y eso puede derivar en problemas de seguridad.

  • Recomendación de autoalojamiento: siempre es mejor alojar directamente tus propias dependencias, y eso también ayuda a proteger la privacidad de los usuarios.