Sursa: dnsc.ro
Domeniul polyfill.io este folosit pentru a infecta peste 100.000 de site-uri web cu cod malițios, după ce acesta a fost achiziționat de către o organizație chineză la începutul anului 2024. Site-ul oferă polyfills – segmente de cod JavaScript care adaugă funcționalitați browserelor web mai vechi.
Acest domeniu a fost identificat ca injectând cod malițios JavaScript pe dispozitivele mobile, prin intermediul oricărui site web care încorporează elemente de tip Content Delivery Network (CDN) din sursa cdn.polyfill.io, redirecționând astfel utilizatorii către alte pagini de internet ce pot conține malware.
Există riscul ca orice utilizator care vizitează un site web legitim, dar care include cod din sursa cdn.polyfill.io, să fie expus codului malițios provenind din această sursă.
https://trends.builtwith.com/javascript/Polyfill-IO/Romania
Indicatori de compromitere (IOCs)
La nivelul DNSC sunt în proces de validare o serie suplimentară de IOCs ce vor fi publicați curând. Indicatorii de compromitere identificați până la acest moment sunt:
https://kuurza.com/redirect?from=bitget
https://www.googie-anaiytics.com/html/checkcachehw.js
https://www.googie-anaiytics.com/ga.js
https://cdn.bootcss.com/highlight.js/9.7.0/highlight.min.js
https://union.macoms.la/jquery.min-4.0.2.js
https://newcrbpc.com/redirect?from=bscbc
bootcdn.net
bootcss.com
newcrbpc.com
staticfile.net
staticfile.org
unionadjs.com
union.macoms.la
xhsbpza.com
RECOMANDARE
Directoratul recomandă cu fermitate tuturor organizațiilor ale căror site-uri web utilizează orice cod JavaScript provenind din domeniul polyfill.io să ia masurile necesare pentru a-l elimina sau înlocui imediat.
Hackerii rai, aia rusi, fac asta😝😝😝