Honderdduizend websites die gebruikmaken van code afkomstig van Polyfill.io zijn het slachtoffer van een supplychain-aanval geworden, waarbij er malware op hun sites wordt geïnjecteerd. Dat melden securitybedrijven Sansec en C/side. Google is inmiddels begonnen met het blokkeren van Google Ads voor webshops die van Polyfill.io gebruikmaken.
Polyfill.js is een opensource-library waarmee websites allerlei functionaliteit aan oudere browser kunnen bieden. Polyfills laten webontwikkelaars API's gebruiken, ongeacht of de betreffende browser die ondersteunt. Vaak gaat het om JavaScript waarmee HTML5 of CSS wordt geïmplementeerd. Zo'n honderdduizend websites laden hun Polyfill.js-bestand vanaf het domein polyfill.io. De domeinnaam en het GitHub-account werden begin dit jaar door een Chinees bedrijf overgenomen.
"Sindsdien injecteert het domein malware op mobiele apparaten via elke site die cdn.polyfill.io heeft toegevoegd", aldus Sansec. Webmasters worden opgeroepen om alle verwijzingen naar Polyfill.io van hun website te verwijderen. De Websites kunnen de opensource-library wel zelf hosten, aangezien het project zelf niet getroffen is. "Het probleem ligt bij het domein cdn.polyfill.io dat meteen vanaf je websites moet worden verwijderd", aldus Simon Wijckmans van C/side.
Sansec laat weten dat na de publicatie over Polyfill.io de infrastructuur doelwit van een ddos-aanval was. "We hebben onze primaire diensten hersteld, maar de aanval is nu verschoven naar onze betalingsprovider, die ons tijdelijk afgesloten heeft", aldus het bedrijf op X.
Je bent niet ingelogd en reageert "Anoniem". Dit betekent dat Security.NL geen accountgegevens (e-mailadres en alias) opslaat voor deze reactie. Je reactie wordt niet direct geplaatst maar eerst gemodereerd. Als je nog geen account hebt kun je hier direct een account aanmaken. Wanneer je Anoniem reageert moet je altijd een captchacode opgeven.