安全研究人员发现,除 polyfill.io 外,此次攻击还波及了 bootcdn.net、bootcss.com、staticfile.net 和 staticfile.org 等多个 CDN 服务。
针对这一大规模攻击,多方已采取应对措施:
- uBlock 的「Badware risks」过滤器已阻断了这些受影响站点的访问。
- 域名注册商 Namecheap 已关停 polyfill.io 和 polyfill.com 域名。
- Google 开始停止向使用 polyfill.io 的网站投放广告。
- Cloudflare 推出了自动替换服务,将 polyfill.io 链接替换为其安全镜像。该服务对免费计划用户默认启用,付费计划用户可手动开启。
值得注意的是,一位安全研究者在 GitHub 上发现了一个名为 data.polyfill.com 的公开仓库,其中意外泄露了 Cloudflare API 密钥。利用这些仍然有效的 API 密钥,研究人员发现同一个 Cloudflare 账户控制着所有涉事域名,这一发现将多个受影响的 CDN 服务与同一运营商联系起来。
安全专家警告,鉴于攻击者可能预先注册了多个域名,这种供应链攻击可能会演变成一场「打地鼠」式的持久战。他们建议开发者立即移除对这些受影响 CDN 的引用,并转向安全的替代方案。
Ref:
https://t.me/outvivid/4557
针对这一大规模攻击,多方已采取应对措施:
- uBlock 的「Badware risks」过滤器已阻断了这些受影响站点的访问。
- 域名注册商 Namecheap 已关停 polyfill.io 和 polyfill.com 域名。
- Google 开始停止向使用 polyfill.io 的网站投放广告。
- Cloudflare 推出了自动替换服务,将 polyfill.io 链接替换为其安全镜像。该服务对免费计划用户默认启用,付费计划用户可手动开启。
值得注意的是,一位安全研究者在 GitHub 上发现了一个名为 data.polyfill.com 的公开仓库,其中意外泄露了 Cloudflare API 密钥。利用这些仍然有效的 API 密钥,研究人员发现同一个 Cloudflare 账户控制着所有涉事域名,这一发现将多个受影响的 CDN 服务与同一运营商联系起来。
安全专家警告,鉴于攻击者可能预先注册了多个域名,这种供应链攻击可能会演变成一场「打地鼠」式的持久战。他们建议开发者立即移除对这些受影响 CDN 的引用,并转向安全的替代方案。
Ref:
https://t.me/outvivid/4557
