Если вы используете у себя на сайте скрипт Polyfill.io, рекомендуется его как можно быстрее удалить. Дело в том, что через этот сервис посетителям использующих его сайтов раздается вредоносный код. Рассказываем подробнее о том, что это за сервис, почему им стало опасно пользоваться и что в связи с этим следует предпринять для защиты.
Оглавление
Что такое полифилы и Polyfill.io
Полифил — это код, который реализует те или иные функции, не поддерживаемые в определенных версиях браузеров. Чаще всего речь идет о JavaScript-коде, который добавляет поддержку HTML5, CSS3, JavaScript API и прочих стандартов и технологий в те браузеры, в которых эта поддержка отсутствует.
Использование полифилов позволяет разработчикам веб-сайтов не беспокоиться о совместимости их кода с какими-либо экзотическими или устаревшими версиями браузеров. В особенности использование полифилов было распространено в 2010-х — это было связано с постепенным внедрением HTML5 и CSS3.
В свою очередь, Polyfill.io — это сервис, служащий для автоматической подгрузки тех полифилов, которые необходимы для корректного отображения сайта именно в том браузере, в котором пользователь этот сайт открывает.
Сервис стал достаточно популярен благодаря эффективности (загружаются только те полифилы, которые нужны) и постоянному обновлению поддерживаемых технологий и стандартов. Также сыграла роль и максимальная простота использования: для того чтобы воспользоваться Polyfill.io, разработчику сайта достаточно добавить в код страницы короткую строчку для выполнения скрипта сервиса.
Изначально Polyfill.io был создан командой веб-разработчиков издания Financial Times. Однако в феврале 2024 года сервис был продан китайскому CDN-провайдеру Funnull вместе с соответствующим доменом и GitHub-аккаунтом. Не прошло и полгода, как последовали неприятности.
Распространение вредоносного кода через cdn.polyfill.io
25 июня 2024 года исследователи из Sansec обнаружили, что домен cdn.polyfill.io начал раздавать вредоносный код посетителям сайтов, использующих сервис Polyfill.io. Через фейковый домен, притворяющийся Google Analytics — [code] www.googie-anaiytics.com [/code], — вредоносный код перенаправлял пользователей на сайт спортивных ставок на вьетнамском языке.
Исследователи подчеркивают, что сервис Polyfill.io уже не в первый раз замечен за раздачей вредоносного кода. В предыдущих случаях заметившие опасное поведение сервиса пробовали жаловаться в дискуссиях на GitHub, однако новые владельцы Polyfill.io быстро удаляли все жалобы.
Сообщается о том, что потенциально опасный скрипт содержат более 100 000 сайтов. Среди них есть несколько весьма крупных.
Google Ads: дополнительная причина удалить Polyfill.io
На случай, если сама по себе раздача вредоносного скрипта посетителям сайта не кажется достаточной причиной, чтобы поторопиться с решением проблемы, еще один веский повод для этого дает Google Ads.
Дело в том, что рекламный сервис Google приостановил показ рекламы, ведущей на сайты, которые раздают вредоносные скрипты, загруженные с нескольких сервисов. Помимо Polyfill.io в списке значатся Bootcss.com, Bootcdn.net и Staticfile.org.
Так что стоит перестать использовать на сайте перечисленные выше сервисы. Иначе есть риск не только потерять посетителей из-за того, что их уводят с сайта вредоносные скрипты, но еще и из-за приостановки рекламы в Google Ads.
Как защититься от атаки через Polyfill.io
Теперь несколько советов на тему того, что же стоит предпринять в связи с атакой через сервис Polyfill.io:
Как можно быстрее удалите со своего сайта скрипт Polyfill.io — а также Bootcss.com, Bootcdn.net иorg.
Подумайте о том, чтобы вообще перестать использовать полифилы. Например, именно так рекомендует поступить разработчик Polyfill.io — по его мнению, полифилы более не актуальны.
Если по каким-то причинам вы не можете этого сделать, используйте альтернативные сервисы автоматической подгрузки полифилов от Cloudflare или Fastly.
В целом старайтесь жестко минимизировать количество внешних скриптов, которые используются на вашем сайте. Каждый такой скрипт — это потенциальная уязвимость.
Блог Касперского