JSライブラリ「Polyfill.io」がマルウェアに改変、10万サイト以上に影響

Sansecは6月25日(現地時間)、「Polyfill supply chain attack hits 100K+ sites」において、オープンソースのJavaScriptライブラリ「Polyfill.io」が改変され、10万以上のWebサイトに展開されたと報じた。

• Polyfill supply chain attack hits 100K+ sites

Polyfill.ioの買収

Polyfill.ioはAndrew Betts氏が開発した人気のJavaScriptライブラリ。古いWebブラウザをサポートし、JSTOR、Intuit、世界経済フォーラムを含む10万以上のWebサイトに利用されている。

Polyfill.ioは2024年2月、中国を拠点とするコンテンツデリバリーネットワーク(CDN: Content Delivery Network)企業の「Funnull」に買収された。ドメインに加えGitHubアカウントも買収されており、コード改変の可能性があるとして懸念が高まっていた。

マルウェアの配布

懸念は的中し「cdn.polyfill.io」を埋め込んだWebサイトにアクセスすると、悪意のあるWebサイトにリダイレクトするようコードが改変された。これはPolyfill.io自体をマルウェアに改変したといえる。

Sansecの分析によると、この悪意のあるコードは特定のモバイルデバイス上で特定の時間帯のみ動作するという。リダイレクトにはGoogle Analyticsに偽装したドメイン「www.googie-anaiytics[.]com」が使用され、ユーザーをスポーツ賭博サイトなどに誘導する。SansecはFunnullの行為を典型的なサプライチェーン攻撃だとして強く非難している。

対策

Polyfill.ioの開発者のAndrew Betts氏は「Polyfill.ioはもはや必要ない」と述べており、Webサイトの管理者に使用の中止を呼びかけている。また、FastlyおよびCloudflareは次のWebサイトから安全な代替手段の提供を開始している。

• New options for Polyfill.io users - General - Fastly Community
• cdnjs.cloudflare.com/polyfill

この攻撃はWebサイトを訪れたユーザーに対して実行される。Polyfill.ioをWebサイトに埋め込んでいる管理者には、訪問者を保護するため速やかに利用を中止するか、または代替手段に移行することが推奨されている。