Internetbedrijf Cloudflare vervangt in realtime verwijzingen naar het domein Polyfill.io op de websites van klanten, waarbij er nu wordt verwezen naar een bij Cloudflare gehoste mirror. Dit gebeurt standaard bij websites die van de gratis proxydienst van Cloudflare gebruikmaken. Betalende klanten moeten dit zelf inschakelen. Volgens het internetbedrijf gaat het om een uitzonderlijke stap. Daarnaast roept Cloudflare websites op om code van Polyfill.io te verwijderen, omdat die is gebruikt om kwaadaardige JavaScript in de browsers van bezoekers uit te voeren.

Securitybedrijven waarschuwden eerder deze week al voor de malafide code die Polyfill.io verspreidde en mogelijk op honderdduizend websites heeft gedraaid. Polyfill.js is een opensource-library waarmee websites allerlei functionaliteit aan oudere browser kunnen bieden. Zo'n honderdduizend websites laden hun Polyfill.js-bestand vanaf het domein polyfill.io. De domeinnaam en het GitHub-account werden begin dit jaar door een Chinees bedrijf overgenomen.

Volgens Cloudflare heeft Polyfill.io in ieder geval sinds 8 juni malafide code aangeboden. Die zorgde ervoor dat gebruikers in bepaalde gevallen naar andere websites werden doorgestuurd. Daarnaast maakt Polyfill.io zonder toestemming gebruik van de naam van Cloudlfare op hun website, aldus het internetbedrijf. Dat heeft besloten om direct bij klanten in te grijpen die van Polyfill.io gebruikmaken.

"We hebben de uitzonderlijke stap genomen om onze mogelijkheid te gebruiken om HTML on the fly aan te passen door verwijzingen naar het Polyfill.io CDN op websites van onze klanten te vervangen door links naar onze eigen, veilige, mirror die in februari is gemaakt", aldus Cloudflare. De 'JavaScript URL rewriting service' staat standaard ingeschakeld bij gratis gebruikers van de Cloudflare-proxydienst. Betalende klanten kunnen dit zelf via één click inschakelen. Alle klanten kunnen de optie ook weer uitzetten.