Journal polyfill.io est contaminé

Posté par  . Licence CC By‑SA.
43
30
juin
2024

Bonjour tout le monde,

Ça fait 5 jours, et personne ne l'a mentionné ici, alors je fais tourner : https://sansec.io/research/polyfill-supply-chain-attack

En gros, un acteur chinois a racheté le nom de domaine polyfill.io et le compte GitHub. Et depuis, il s'en sert pour injecter des malwares. Visiblement, l'auteur original déconseille l'utilisation de polyfill.io, en rajoutant même qu'aujourd'hui, ça ne sert à rien avec les navigateurs actuels.

Pour les gens pas dans le milieu, polyfill.io permet(tait) de fournir des fonctions en Javascript pour les navigateurs un peu (trop) anciens qui n'implémentait pas les dernières fonctionnalités, facilitant la vie des développeurs. Un polyfill est en effet une sorte de « bouche-trou », moins performant, mais qui a le mérite de fonctionner.

Pour les utilisateurs de uBlock Origin, pas de souci, le domaine est déjà dans la liste « Badware », donc bloquée. Sinon, franchement, vous n'avez pas d'excuses, utilisez uBlock Origin, tout de suite ;)

Pour les autres, des mesures sont en cours. Cloudflare remplace automatiquement les requêtes que ses serveurs voient passer par des ressources non contaminées, et Namecheap semble avoir mis le domaine en pause.

Mais visiblement, cette attaque est … pas vraiment récente. Et d'autres domaines ont déjà pratiqué ce genre de choses depuis au moins 1 an : bootcdn.net, bootcss.com, staticfile.net, staticfile.org, unionadjs.com, xhsbpza.com, union.macoms.la, newcrbpc.com

  • # Même rengaine

    Posté par  (site web personnel) . Évalué à 10.

    Encore une fois, c'est essentiellement parce que les sites s'appuient sur des ressources externes sans en avoir le contrôle.

    Alors qu'il suffit d'avoir une copie, locale, dont on fera les mises à jours quand ce sera nécessaire.

    Bien entendu, ça ne protège pas de tout, mais c'est déjà ça.

    La cible concernant Polyfil est probablement aussi le marché Chinois, parce qu'en Chine, beaucoup d'ordinateurs ont de vieux navigateurs, à cause d'outils web qui ne fonctionnent que sur d'anciennes versions de navigateurs, comme IE 6.

    Pourquoi bloquer la publicité et les traqueurs : https://greboca.com/Pourquoi-bloquer-la-publicite-et-les-traqueurs.html

    • [^] # Re: Même rengaine

      Posté par  (Mastodon) . Évalué à 7.

      La cible concernant Polyfil est probablement aussi le marché Chinois, parce qu'en Chine, beaucoup d'ordinateurs ont de vieux navigateurs, à cause d'outils web qui ne fonctionnent que sur d'anciennes versions de navigateurs, comme IE 6.

      Pas forcément, c'est pas nécessaire d'en avoir besoin pour l'avoir inclus dans son site. Il suffit d'utiliser un outil genre Wordpress, et d'ajouter un thème ou plugin qui inclus Polyfill pour être vulnérable. Ça concerne énormément de sites (j'ai vu passer le chiffre de 100k), même si la grosse majorité n'en a probablement jamais eu besoin.

    • [^] # Re: Même rengaine

      Posté par  (site web personnel) . Évalué à 4.

      Cela fait un moment que la bonne pratique pour les ressources externes, c'est d'utiliser SRI.

  • # Google

    Posté par  . Évalué à 3.

    Il me semblait qu'un service de google utilisé par firefox était justement pour bloquer ce genre de chose (pas de manière proactive, mais à la manière de badware d'ublock origin).

    https://linuxfr.org/users/barmic/journaux/y-en-a-marre-de-ce-gros-troll

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.