LinuxFr.org : les journaux  -  polyfill.io est contaminé

 -  Juin 2024 - 

Bonjour tout le monde,

Ça fait 5 jours, et personne ne l'a mentionné ici, alors je fais tourner : https://sansec.io/research/polyfill-supply-chain-attack

En gros, un acteur chinois a racheté le nom de domaine polyfill.io et le compte GitHub. Et depuis, il s'en sert pour injecter des malwares. Visiblement, l'auteur original déconseille l'utilisation de polyfill.io, en rajoutant même qu'aujourd'hui, ça ne sert à rien avec les navigateurs actuels.

Pour les gens pas dans le milieu, polyfill.io permet(tait) de fournir des fonctions en Javascript pour les navigateurs un peu (trop) anciens qui n'implémentait pas les dernières fonctionnalités, facilitant la vie des développeurs. Un polyfill est en effet une sorte de « bouche-trou », moins performant, mais qui a le mérite de fonctionner.

Pour les utilisateurs de uBlock Origin, pas de souci, le domaine est déjà dans la liste « Badware », donc bloquée. Sinon, franchement, vous n'avez pas d'excuses, utilisez uBlock Origin, tout de suite ;)

Pour les autres, des mesures sont en cours. Cloudflare remplace automatiquement les requêtes que ses serveurs voient passer par des ressources non contaminées, et Namecheap semble avoir mis le domaine en pause.

Mais visiblement, cette attaque est … pas vraiment récente. Et d'autres domaines ont déjà pratiqué ce genre de choses depuis au moins 1 an : bootcdn.net, bootcss.com, staticfile.net, staticfile.org, unionadjs.com, xhsbpza.com, union.macoms.la, newcrbpc.com

Commentaires : voir le flux Atom ouvrir dans le navigateur

par Glandos