Оригинальный Polyfill на GitHub и домен polyfill.io были проданы в конце февраля малоизвестной компании Funnull. Уже тогда сомнения о безопасности дальнейшего использования библиотеки при ее загрузке с данного URL и предлагались альтернативные источники (помимо варианта self-hosted). Опасения стали реальностью на прошлой неделе: в библиотеку был добавлен код, вызывающий перенаправление на другие веб-сайты через URL, указанные в списке на скриншоте выше. Среди пострадавших веб-сайтов — библиотека JSTOR, сайт компании Intuit, британская газета Metro и многие другие.
Данный инцидент может быть квалифицирован как типичная атака на цепочку поставок: поставщик технического решения для совместимости со старыми браузерами в какой-то момент начал вредоносную деятельность. По нему можно оценить последствия такой атаки для пострадавших веб-разработчиков. В частности, компания Google оперативно разослала жертвам письмо с рекомендацией удалить ссылки на polyfill.io и превентивно отключила показ рекламы. Для клиентов сервиса Cloudflare был автоматический редирект с вредоносного URL на форк библиотеки, который поддерживает сам Cloudflare. 27 июня домен polyfill.io был отключен регистратором Namecheap.
Новые владельцы polyfill.io довольно мутное опровержение, утверждая, что «риска атаки supply chain нет». После этого хостинг библиотеки был перенесен на другой домен трижды, так как вновь создаваемые адреса также блокировались регистратором. Помимо Cloudflare, оригинальная библиотека Polyfill также раздается сервисом . Позднее было , что новый оператор polyfill.io также контролирует сервисы BootCDN, Bootcss и Staticfile, которые тоже могут быть скомпрометированы.
Что еще произошло
Эксперты «Лаборатории Касперского» продолжают исследовать код бэкдора XZ Utils, еще одной громкой попытки внести вредоносную функциональность в популярное ПО с открытым исходным кодом. В новой — подробный разбор собственно функциональности бэкдора, которая позволяет залогиниться на уязвимый сервер с произвольным ключом или паролем. Еще одна публикация «Лаборатории Касперского» распространенные киберугрозы для малого бизнеса.
Издание 404 Media о грубой ошибке разработчиков аппаратного ИИ-ассистента Rabbit R1. В код помощника были зашиты фиксированные ключи для доступа к различным сервисам, что позволяет злоумышленникам, например, получить историю общения всех пользователей с устройством. Ключи были отозваны, причем так, что это привело к временной неработоспособности устройств Rabbit.
В наушниках Airpods была обнаружена и закрыта , которая позволяла подключаться к устройству без авторизации, если потенциальному злоумышленнику известен MAC-адрес.
инфраструктура сервиса удаленного доступа TeamViewer.
Новая критическая уязвимость в корпоративном решении для обмена файлами MOVEit. Проблема в модуле SFTP имеет рейтинг 9,1 по шкале CVSS и позволяет обойти систему авторизации.
В свежем обновлении браузера Chrome четыре серьезных уязвимости типа use-after-free, теоретически позволяющие выполнять произвольный код.
Еще одна атака класса supply chain в ряде плагинов для WordPress. В официальные обновления для плагинов Social Warfare, Wrapper Link Elementor и других был добавлен вредоносный код.
