Attaque de la chaîne d'approvisionnement

Plus de 100 000 sites ont été touchés par une attaque de la chaîne d'approvisionnement par le service Polyfill.io après qu'une entreprise chinoise a acquis le domaine et que le script a été modifié pour rediriger les utilisateurs vers des sites malveillants et frauduleux.

UN polyremplissage est un code, tel que JavaScript, qui ajoute des fonctionnalités modernes aux navigateurs plus anciens qui ne le prennent généralement pas en charge. Par exemple, il ajoute des fonctions JavaScript qui ne sont pas disponibles pour les anciens navigateurs mais qui sont présentes dans les navigateurs modernes.

Le service polyfill.io est utilisé par des centaines de milliers de sites pour permettre à tous les visiteurs d'utiliser la même base de code, même si leurs navigateurs ne prennent pas en charge les mêmes fonctionnalités modernes que les plus récents.

Attaque de la chaîne d'approvisionnement Polyfill.io

Aujourd'hui, la société de cybersécurité Sansec a averti que le domaine et le service polyfill.io étaient acheté plus tôt cette année par une société chinoise nommée « Funnull » et le script a été modifié pour introduire du code malveillant sur des sites Web lors d'une attaque de la chaîne d'approvisionnement.

Publicité

« Cependant, en février de cette année, une entreprise chinoise a acheté le domaine et le compte Github. Depuis lors, ce domaine a été surpris en train d'injecter malware sur les appareils mobiles via tout site embarquant cdn.polyfill.io, » explique Sansec.

Lors de l'achat de polyfill.io, le développeur du projet a averti qu'il n'était jamais propriétaire du site polyfill.io et que tous les sites Web devraient le supprimer immédiatement. Pour réduire le risque d’une éventuelle attaque de la chaîne d’approvisionnement, Cloudflare et Rapidement configurer leurs propres miroirs du service Polyfill.io afin que les sites Web puissent utiliser un service de confiance.

Andrew tweete

« Aujourd'hui, aucun site Web ne nécessite l'un des polyfills de la bibliothèque http://polyfill.io », a tweeté le développeur original du projet de service Polyfills.

« La plupart des fonctionnalités ajoutées à la plate-forme Web sont rapidement adoptées par tous les principaux navigateurs, à quelques exceptions près qui ne peuvent généralement pas être polyremplies, comme Web Serial et Web Bluetooth. »

Au cours des derniers mois, la prédiction du développeur s'est réalisée et le service polyfill.io a été nommé CNAME en polyfill.io.bsclink.cn, que les nouveaux propriétaires maintiennent.

Lorsque les développeurs ont intégré les scripts cdn.polyfill.io dans leurs sites Web, ils extrayaient désormais le code directement du site de la société chinoise.

Cependant, les développeurs de sites Web ont constaté que les nouveaux propriétaires injectaient du code malveillant qui visiteurs redirigés vers des sites indésirables à l'insu du propriétaire du site.

Dans un exemple vu par Sansec, le script modifié est principalement utilisé pour rediriger les utilisateurs vers des sites frauduleux, comme un faux site de paris sportifs. Il le fait via un faux domaine Google Analytics (www.googie-anaiytics.com) ou des redirections comme kuurza.com/redirect?from=bitget.

Cependant, les chercheurs affirment qu'il a été difficile d'analyser complètement le script modifié car il utilise un ciblage très spécifique et résiste à l'ingénierie inverse.

« Le code dispose d'une protection spécifique contre l'ingénierie inverse et ne s'active que sur des appareils mobiles spécifiques à des heures spécifiques », a poursuivi Sansec.

« Il ne s'active pas non plus lorsqu'il détecte un utilisateur administrateur. Il retarde également l'exécution lorsqu'un service d'analyse Web est trouvé, probablement pour ne pas se retrouver dans les statistiques. »

Actuellement, le domaine cdn.polyfill.io a été mystérieusement redirigé vers le miroir de Cloudflare. Cependant, comme les serveurs DNS du domaine restent inchangés, les propriétaires peuvent facilement le rétablir à tout moment sur leurs propres domaines.

BleepingComputer a contacté Cloudflare pour voir s'ils étaient impliqués dans la modification des enregistrements CNAME, mais n'a pas eu de réponse.

Google avertit les annonceurs

Google a commencé à informer les annonceurs de cette attaque sur la chaîne d'approvisionnement, les avertissant que leurs pages de destination contiennent le code malveillant et pourraient rediriger les visiteurs hors du site prévu à l'insu ou sans l'autorisation du propriétaire du site Web.

Google prévient également que Bootcss, Bootcdn et Staticfile provoquent également des redirections indésirables, ajoutant potentiellement des milliers, voire des centaines de milliers, de sites touchés par les attaques de la chaîne d'approvisionnement.

« Le code à l'origine de ces redirections semble provenir de plusieurs fournisseurs de ressources Web tiers, notamment Polyfill.io, Bootcss.com, Bootcdn.net ou Staticfile.org », lit-on dans l'e-mail de Google.

« Des rapports similaires peuvent être trouvés en recherchant « polyfill.io » sur Google (https://www.google.com/search?q=polyfill.io).

Lettre de Google aux annonceurs concernant une attaque contre la chaîne d'approvisionnement
Lettre de Google aux annonceurs concernant une attaque contre la chaîne d'approvisionnement Source : SanSec

Google prévient que s'il trouve ces redirections lors de vérifications régulières des destinations publicitaires, il refusera la publicité associée.

Mise à jour du 25/06/24 : Lorsqu'on lui a demandé de plus amples informations sur ces e-mails et l'attaque de la chaîne d'approvisionnement, Google nous a envoyé la déclaration suivante.

« La protection de nos utilisateurs est notre priorité absolue. Nous avons récemment détecté un problème de sécurité susceptible d'affecter les sites Web utilisant certaines bibliothèques tierces », a déclaré Google à BleepingComputer.

« Pour aider les annonceurs potentiellement impactés à sécuriser leurs sites Web, nous avons partagé de manière proactive des informations sur la manière d'atténuer rapidement le problème. »

5/5 - (482 votes)
Publicité
Article précédentLes nouveaux smartphones Razr (2024) de Motorola apportent plus de fonctionnalités à l'écran de couverture
Article suivantComment battre Bayle the Dread dans Elden Ring: Shadow of the Erdtree
Violette Laurent est une blogueuse tech nantaise diplômée en communication de masse et douée pour l'écriture. Elle est la rédactrice en chef de fr.techtribune.net. Les sujets de prédilection de Violette sont la technologie et la cryptographie. Elle est également une grande fan d'Anime et de Manga.

LAISSER UN COMMENTAIRE

S'il vous plaît entrez votre commentaire!
S'il vous plaît entrez votre nom ici