详细内容或原文请订阅后点击阅览
Digital Troy:中国如何将 Polyfill.io 变成大规模黑客工具
成为军队中最受欢迎的人之一,访问量超过 100,000 个网站。
来源:安全实验室新闻频道供应链在网站所有者没有注意到的情况下受到损害。
在Polyfill.io域名被中国公司Funnull收购后,超过10万个网站遭受了大规模的供应链攻击。除了购买域名之外,Polyfill.io 脚本还被修改以将用户重定向到恶意和欺诈网站。
Polyfill.io FunnullPolyfill 是通常用 JavaScript 编写的代码,通过添加对现代 Web 技术的支持来扩展旧版浏览器的功能。 Polyfill 允许开发人员使用 Web 平台的最新功能,同时确保与旧版本浏览器的兼容性。网站使用 polyfill 来允许所有访问者使用相同的代码库,即使他们的浏览器不支持与较新的浏览器相同的现代功能。
Polyfill JavaScript Polyfillpolyfill.js 是一个流行的开源库,用于支持旧版浏览器。 超过 100,000 个网站使用 cdn.polyfill.io 域嵌入了 polyfill.js。著名用户包括 JSTOR、Intuit 和世界经济论坛。
超过 100,000 个网站据信息安全公司 Sansec 解释,2 月份中国公司 Funnull 购买了 Github 上 Polyfill 项目的域名和帐户。此后,该域名被发现通过任何嵌入 cdn.polyfill.io 的网站向移动设备注入恶意软件。然而,任何投诉都很快从 Github 存储库中删除。
解释 帐户 Github 很快被删除了修改后的脚本用于重定向到虚构的博彩网站和其他欺诈页面。这是通过虚假的 Google Analytics 域 (www[.]googie-anaiytics[.]com) 或重定向(例如 kuurza.com/redirect?from=bitget)来完成的。
警告, 说,Polyfill.io 开发者的帖子
由 Polyfill 开发人员发布。 io 声明 成为诽谤的受害者 断言 注意到 标题 Cloudflare 快