Google đã thực hiện các bước để chặn quảng cáo cho các trang web thương mại điện tử sử dụng dịch vụ Polyfill.io sau khi một công ty Trung Quốc mua lại tên miền và sửa đổi thư viện JavaScript ("polyfill.js") để chuyển hướng người dùng đến các trang web độc hại và lừa đảo.
"Bảo vệ người dùng là ưu tiên hàng đầu của chúng tôi. Chúng tôi đã phát hiện ra một vấn đề bảo mật gần đây có thể ảnh hưởng đến các trang web sử dụng một số thư viện của bên thứ ba", công ty cho biết trong một tuyên bố được chia sẻ với The Hacker VN. "Để giúp các nhà quảng cáo có khả năng bị ảnh hưởng bảo mật trang web của họ, chúng tôi đã chủ động chia sẻ thông tin về cách nhanh chóng giảm thiểu vấn đề."
Hơn 110.000 trang web nhúng thư viện bị ảnh hưởng bởi cuộc tấn công chuỗi cung ứng, Sansec cho biết trong một báo cáo hôm thứ Ba.
Polyfill là một thư viện phổ biến kết hợp hỗ trợ cho các chức năng hiện đại trong trình duyệt web. Đầu tháng Hai này, những lo ngại đã được nêu ra sau khi được mua bởi công ty mạng phân phối nội dung (CDN) có trụ sở tại Trung Quốc Funnull.
Người sáng tạo ban đầu của dự án, Andrew Betts, kêu gọi chủ sở hữu trang web xóa nó ngay lập tức, nói thêm rằng "không có trang web nào ngày nay yêu cầu bất kỳ polyfill nào trong polyfill [.] Thư viện io" và rằng "hầu hết các tính năng được thêm vào nền tảng web nhanh chóng được chấp nhận bởi tất cả các trình duyệt chính, với một số ngoại lệ thường không thể được polyfill, như Web Serial và Web Bluetooth."
Sự phát triển cũng thúc đẩy các nhà cung cấp cơ sở hạ tầng web Cloudflare và Fastly cung cấp các điểm cuối thay thế để giúp người dùng tránh xa polyfill. Io.
Công ty bảo mật thương mại điện tử Hà Lan cho biết tên miền "cdn.polyfill[.] io" kể từ đó đã bị bắt quả tang tiêm phần mềm độc hại chuyển hướng người dùng đến các trang web cá cược thể thao và khiêu dâm.
"Mã này có khả năng bảo vệ cụ thể chống lại kỹ thuật đảo ngược và chỉ kích hoạt trên các thiết bị di động cụ thể vào những giờ cụ thể", nó nói. "Nó cũng không kích hoạt khi phát hiện người dùng quản trị. Nó cũng trì hoãn việc thực hiện khi một dịch vụ phân tích trang web được tìm thấy, có lẽ để không kết thúc trong số liệu thống kê. "
C/side có trụ sở tại San Francisco cũng đã đưa ra cảnh báo của riêng mình, lưu ý rằng những người bảo trì tên miền đã thêm tiêu đề Bảo vệ bảo mật Cloudflare vào trang web của họ trong khoảng thời gian từ ngày 7 đến ngày 8 tháng 3 năm 2024.
Các phát hiện này tuân theo lời khuyên về một lỗ hổng bảo mật nghiêm trọng ảnh hưởng đến các trang web Adobe Commerce và Magento (CVE-2024-34102, điểm CVSS: 9.8) tiếp tục phần lớn chưa được vá mặc dù các bản sửa lỗi đã có sẵn kể từ ngày 11 tháng 6 năm 2024.
Kể từ đó, các bên thứ ba có thể có quyền truy cập quản trị API mà không yêu cầu phiên bản Linux dễ bị tổn thương trước sự cố iconv (CVE-2024-2961), khiến nó trở thành một vấn đề thậm chí còn nghiêm trọng hơn.
(Câu chuyện đã được cập nhật sau khi xuất bản để bao gồm phản hồi từ Google.)