ALERTA DNSC –  Domeniul polyfill.io este folosit pentru a infecta peste 100.000 de site-uri web cu cod malițios

Domeniul polyfill.io este folosit pentru a infecta peste 100.000 de site-uri web cu cod malițios, după ce acesta a fost achiziționat de către o organizație chineză la începutul anului 2024. Site-ul oferă polyfills – segmente de cod JavaScript care adaugă funcționalitați browserelor web mai vechi, potrivi unei alerte transmise de DNSC.

Acest domeniu a fost identificat ca injectând cod malițios JavaScript pe dispozitivele mobile, prin intermediul oricărui site web care încorporează elemente de tip Content Delivery Network (CDN) din sursa cdn.polyfill.io, redirecționând astfel utilizatorii către alte pagini de internet ce pot conține malware.

Există riscul ca orice utilizator care vizitează un site web legitim, dar care include cod din sursa cdn.polyfill.io, să fie expus codului malițios provenind din această sursă.

https://trends.builtwith.com/javascript/Polyfill-IO/Romania

Indicatori de compromitere (IOCs)

La nivelul DNSC sunt în proces de validare o serie suplimentară de IOCs ce vor fi publicați curând. Indicatorii de compromitere identificați până la acest moment sunt:

https://kuurza.com/redirect?from=bitget

https://www.googie-anaiytics.com/html/checkcachehw.js

https://www.googie-anaiytics.com/ga.js

https://cdn.bootcss.com/highlight.js/9.7.0/highlight.min.js

https://union.macoms.la/jquery.min-4.0.2.js

https://newcrbpc.com/redirect?from=bscbc

bootcdn.net

bootcss.com

newcrbpc.com

staticfile.net

staticfile.org

unionadjs.com

union.macoms.la

xhsbpza.com

RECOMANDARE

Directoratul recomandă cu fermitate tuturor organizațiilor ale căror site-uri web utilizează orice cod JavaScript provenind din domeniul polyfill.io să ia masurile necesare pentru a-l elimina sau înlocui imediat.