Getty Images
Plus de 384 000 sites Web renvoient vers un site qui a été surpris la semaine dernière en train de mener une attaque de chaîne d’approvisionnement qui a redirigé les visiteurs vers des sites malveillants, ont indiqué les chercheurs.
Pendant des années, le code JavaScript, hébergé chez polyfill[.]com, était un projet open source légitime qui permettait aux navigateurs plus anciens de gérer des fonctions avancées qui n’étaient pas prises en charge nativement. En créant un lien vers cdn.polyfill[.]io, les sites Web pouvaient garantir que les appareils utilisant des navigateurs plus anciens pouvaient restituer le contenu dans des formats plus récents. Le service gratuit était populaire parmi les sites Web car il leur suffisait d’intégrer le lien dans leurs sites. Le code hébergé sur le site polyfill a fait le reste.
La puissance des attaques contre la chaîne d’approvisionnement
En février, la société chinoise Funnull a acquis le domaine et le compte GitHub qui hébergeaient le code JavaScript. Le 25 juin, des chercheurs de la société de sécurité Sansec ont signalé que le code hébergé sur le domaine polyfill avait été modifié pour rediriger les utilisateurs vers des sites Web pour adultes et des sites de jeux d’argent. Le code a été délibérément conçu pour masquer les redirections en les exécutant uniquement à certains moments de la journée et uniquement contre les visiteurs qui répondaient à des critères spécifiques.
Cette révélation a suscité des appels à l’action dans l’ensemble du secteur. Deux jours après la publication du rapport Sansec, le registraire de domaine Namecheap a suspendu le domaine, une mesure qui a effectivement empêché le code malveillant de s’exécuter sur les appareils des visiteurs. Même à ce moment-là, les réseaux de diffusion de contenu tels que Cloudflare ont commencé à remplacer automatiquement les liens pollyfill par des domaines menant à des sites miroirs sûrs. Google a bloqué les publicités pour les sites intégrant le Polyfill[.]io. Le bloqueur de sites Web uBlock Origin a ajouté le domaine à sa liste de filtrage. Et Andrew Betts, le créateur original de Polyfill.io, a exhorté les propriétaires de sites Web à supprimer immédiatement les liens vers la bibliothèque.
Mardi, exactement une semaine après la découverte du comportement malveillant, 384 773 sites continuaient de faire référence au site, selon les chercheurs de la société de sécurité Censys. Certains de ces sites étaient associés à des entreprises de premier plan, dont Hulu, Mercedes-Benz et Warner Bros., ainsi qu’au gouvernement fédéral. Ces résultats soulignent la puissance des attaques de la chaîne d’approvisionnement, qui peuvent propager des logiciels malveillants à des milliers ou des millions de personnes simplement en infectant une source commune sur laquelle elles s’appuient toutes.
« Depuis que le domaine a été suspendu, l’attaque de la chaîne d’approvisionnement a été stoppée », a écrit Aidan Holland, membre de l’équipe de recherche de Censys, dans un courriel. « Cependant, si le domaine devait être réactivé ou transféré, il pourrait reprendre son comportement malveillant. J’espère que NameCheap a correctement verrouillé le domaine et empêchera que cela ne se produise. »
De plus, l’analyse Internet effectuée par Censys a trouvé plus de 1,6 million de sites liés à un ou plusieurs domaines enregistrés par la même entité qui possède Polyfill[.]io. Au moins un des sites, bootcss[.]com, a été observé en juin 2023 effectuant des actions malveillantes similaires à celles de polyfill. Ce domaine, ainsi que trois autres : bootcdn[.]net, fichier statique[.]net et staticfile[.]org—ont également divulgué la clé d’authentification d’un utilisateur permettant d’accéder à une interface de programmation fournie par Cloudflare.
Les chercheurs de Censys ont écrit :
Jusqu’à présent, ce domaine (bootcss.com) est le seul à montrer des signes de malveillance potentielle. La nature des autres points de terminaison associés reste inconnue et nous évitons toute spéculation. Cependant, il ne serait pas totalement déraisonnable d’envisager la possibilité que le même acteur malveillant responsable de l’attaque polyfill.io puisse exploiter ces autres domaines pour des activités similaires à l’avenir.
Des 384 773 sites encore liés à Polyfill[.]com, 237 700, soit près de 62 pour cent, étaient situés chez l’hébergeur Web Hetzner, basé en Allemagne.
Censys a découvert que plusieurs sites grand public, tant dans le secteur public que privé, figuraient parmi ceux qui faisaient référence à Polyfill. Parmi eux, on trouve :
- Warner Bros. (www.warnerbros.com)
- Hulu (www.hulu.com)
- Mercedes-Benz (shop.mercedes-benz.com)
- Pearson (bibliothèque numérique-qa.pearson.com, bibliothèque numérique-stg.pearson.com)
- ns-static-assets.s3.amazonaws.com
L’adresse amazonaws.com était le domaine le plus courant associé aux sites toujours liés au site polyfill, ce qui indique une utilisation généralisée parmi les utilisateurs de l’hébergement de sites Web statiques S3 d’Amazon.
Censys a également trouvé 182 domaines se terminant par .gov, ce qui signifie qu’ils sont affiliés à une entité gouvernementale. L’un de ces domaines est feedthefuture[.]gov—est affilié au gouvernement fédéral américain. Une liste des 50 sites les plus touchés est disponible ici.
Les tentatives pour joindre les représentants de Funnull pour obtenir des commentaires n’ont pas abouti.