Un attacco alla supply chain ha compromesso Polyfill.io, un popolare web service utilizzato da oltre 100.000 siti web per garantire la compatibilità delle funzionalità moderne con i browser più vecchi. Il servizio, che usa principalmente codice JavaScript, è stato alterato a seguito della compromissione del dominio cdn.polyfill.io, permettendo l’injection di codice malevolo per reindirizzare gli utenti a siti fraudolenti e raccogliere dati sensibili.
A febbraio 2024, una compagnia cinese chiamata Funnull ha acquistato il dominio e l’account GitHub di Polyfill.io, alterando successivamente il codice originale per generare script malevoli attivati dagli header HTTP dei browser. Gli utenti sono stati reindirizzati a un falso dominio di Google Analytics, www.googie-anaiytics[.]com, che porta a siti indesiderati. Il codice malevolo evita il rilevamento attivandosi solo in orari specifici e principalmente su dispositivi mobili, ritarda la sua esecuzione e ignora le sessioni amministrative.
Questi meccanismi sofisticati hanno permesso di colpire un vasto numero di utenti senza destare immediatamente dei sospetti. Tra le vittime al momento figurano JSTOR, Intuit e il World Economic Forum.
Andrew Betts, autore originale di Polyfill, dopo la vendita del dominio ha raccomandato di non utilizzare più il servizio. Il registrar Namecheap, gestore del dominio malevole, ha già preso provvedimenti sospendendo e bonificando il dominio compromesso.
Alla luce di tutto quanto emerso finora, si consiglia vivamente di rimuovere comunque del tutto Polyfill.io dai propri siti web. Inoltre, è fondamentale che i siti web che fanno riferimento al dominio originale di Polyfill aggiornino anche le loro dipendenze, poiché attualmente i servizi di Polyfill.io non sono più erogati e ciò potrebbe causare malfunzionamenti ai servizi che prima lo utilizzavano.
Il CERT AgID, dalle prime evidenze raccolte, ha rilevato che molti siti della PA nazionale sono stati impattati e ha avviato misure di mitigazione verso le entità della propria constituency e delle PA coinvolte.
