Honderdduizend websites die gebruikmaken van code afkomstig van Polyfill.io zijn het slachtoffer van een supplychain-aanval geworden, waarbij er malware op hun sites wordt geïnjecteerd. Dat melden securitybedrijven Sansec en C/side. Google is inmiddels begonnen met het blokkeren van Google Ads voor webshops die van Polyfill.io gebruikmaken.

Polyfill.js is een opensource-library waarmee websites allerlei functionaliteit aan oudere browser kunnen bieden. Polyfills laten webontwikkelaars API's gebruiken, ongeacht of de betreffende browser die ondersteunt. Vaak gaat het om JavaScript waarmee HTML5 of CSS wordt geïmplementeerd. Zo'n honderdduizend websites laden hun Polyfill.js-bestand vanaf het domein polyfill.io. De domeinnaam en het GitHub-account werden begin dit jaar door een Chinees bedrijf overgenomen.

"Sindsdien injecteert het domein malware op mobiele apparaten via elke site die cdn.polyfill.io heeft toegevoegd", aldus Sansec. Webmasters worden opgeroepen om alle verwijzingen naar Polyfill.io van hun website te verwijderen. De Websites kunnen de opensource-library wel zelf hosten, aangezien het project zelf niet getroffen is. "Het probleem ligt bij het domein cdn.polyfill.io dat meteen vanaf je websites moet worden verwijderd", aldus Simon Wijckmans van C/side.

Update

Polyfill.io spreekt op X van een lastercampagne en stelt dat er geen supplychainrisico is. "We hebben geen supplychainrisico's omdat al onze content statisch gecachet is", aldus de verklaring.

Sansec laat weten dat na de publicatie over Polyfill.io de infrastructuur doelwit van een ddos-aanval was. "We hebben onze primaire diensten hersteld, maar de aanval is nu verschoven naar onze betalingsprovider, die ons tijdelijk afgesloten heeft", aldus het bedrijf op X.