قال باحثون إن أكثر من 384 ألف موقع إلكتروني مرتبط بموقع تم اكتشافه الأسبوع الماضي وهو يقوم بهجوم على سلسلة التوريد يعمل على إعادة توجيه الزوار إلى مواقع ضارة.
لسنوات عديدة، كان كود JavaScript، المستضاف في polyfill[.]كان com مشروعًا مفتوح المصدر شرعيًا يسمح للمتصفحات القديمة بالتعامل مع الوظائف المتقدمة التي لم تكن مدعومة بشكل أصلي. من خلال الربط بـ cdn.polyfill[.]بفضل هذه الخدمة المجانية، يمكن لمواقع الويب ضمان أن الأجهزة التي تستخدم متصفحات قديمة يمكنها عرض المحتوى بتنسيقات أحدث. كانت الخدمة المجانية شائعة بين مواقع الويب لأن كل ما كان عليها فعله هو تضمين الرابط في مواقعها. وكان الكود المستضاف على موقع polyfill يقوم بالباقي.
قوة هجمات سلسلة التوريد
في فبراير، استحوذت شركة Funnull الصينية على المجال وحساب GitHub الذي استضاف كود JavaScript. في 25 يونيو، استحوذ باحثون من شركة الأمن Sansec على المجال وحساب GitHub الذي استضاف كود JavaScript. تم الإبلاغ عنه تم تغيير هذا الكود المستضاف على نطاق polyfill لإعادة توجيه المستخدمين إلى مواقع الويب المخصصة للبالغين والمقامرة. تم تصميم الكود عمدًا لإخفاء عمليات إعادة التوجيه من خلال تنفيذها فقط في أوقات معينة من اليوم وضد الزوار الذين يستوفون معايير محددة فقط.
وقد أدى هذا الكشف إلى دعوات واسعة النطاق لاتخاذ إجراءات. فبعد يومين من نشر تقرير Sansec، قامت شركة تسجيل النطاقات Namecheap بتعليق النطاق، وهي الخطوة التي منعت بشكل فعال تشغيل الكود الخبيث على أجهزة الزوار. وحتى في ذلك الوقت، بدأت شبكات توصيل المحتوى مثل Cloudflare في استخدام هذا النطاق. استبدال روابط pollyfill تلقائيًا مع المجالات التي تؤدي إلى مواقع المرآة الآمنة. قامت Google بحظر الإعلانات للمواقع التي تتضمن Polyfill[.]io. أضاف برنامج حظر المواقع uBlock Origin النطاق إلى قائمة المرشحات الخاصة به. وحث أندرو بيتس، المنشئ الأصلي لـ Polyfill.io، أصحاب المواقع على إزالة الروابط إلى المكتبة على الفور.
وحتى يوم الثلاثاء، أي بعد مرور أسبوع واحد بالضبط على كشف السلوك الخبيث، استمر 384773 موقعًا في الارتباط بالموقع، وفقًا لباحثين من شركة Censys للأمن. كانت بعض المواقع مرتبطة بشركات رئيسية بما في ذلك Hulu وMercedes-Benz وWarner Bros. والحكومة الفيدرالية. وتؤكد النتائج على قوة هجمات سلسلة التوريد، والتي يمكن أن تنشر البرامج الضارة إلى الآلاف أو الملايين من الأشخاص ببساطة عن طريق إصابة مصدر مشترك يعتمدون عليه جميعًا.
كتب أيدان هولاند، أحد أعضاء فريق أبحاث Censys، في رسالة بريد إلكتروني: “منذ تعليق النطاق، توقف هجوم سلسلة التوريد. ومع ذلك، إذا تم إلغاء تعليق النطاق أو نقله، فقد يستأنف سلوكه الخبيث. آمل أن تقوم شركة NameCheap بإغلاق النطاق بشكل صحيح ومنع حدوث ذلك”.
علاوة على ذلك، وجد مسح الإنترنت الذي أجرته Censys أكثر من 1.6 مليون موقع مرتبط بنطاق واحد أو أكثر تم تسجيله بواسطة نفس الكيان الذي يمتلك polyfill[.]io. على الأقل أحد المواقع، bootcss[.]تم رصد com في يونيو 2023 وهو يقوم بأفعال ضارة مماثلة لتلك التي يقوم بها polyfill. هذا المجال، وثلاثة مجالات أخرى -bootcdn[.]الشبكة، ملف ثابت[.]الشبكة، والملف الثابت[.]كما تبين أن بعض المواقع الإلكترونية — مثل www.org.au — قد سربت مفتاح مصادقة المستخدم للوصول إلى واجهة برمجة تقدمها Cloudflare.
كتب باحثو Censys:
حتى الآن، هذا المجال (bootcss.com) هو المجال الوحيد الذي يُظهِر أي علامات على وجود خباثة محتملة. ولا تزال طبيعة نقاط النهاية الأخرى المرتبطة غير معروفة، ونحن نتجنب التكهنات. ومع ذلك، لن يكون من غير المعقول تمامًا النظر في إمكانية استغلال نفس الجهة الخبيثة المسؤولة عن هجوم polyfill.io لهذه المجالات الأخرى لأنشطة مماثلة في المستقبل.
من بين 384,773 موقعًا لا يزال مرتبطًا بـ polyfill[.]com، 237,700، أو ما يقرب من 62 في المائة، كانت موجودة داخل شركة استضافة الويب Hetzner التي يقع مقرها في ألمانيا.
وجدت شركة Censys أن العديد من المواقع الرئيسية – في القطاعين العام والخاص – كانت من بين تلك المواقع التي تربط بـ polyfill. وشملت هذه المواقع:
- وارنر براذرز. (www.warnerbros.com)
- هولو (www.hulu.com)
- مرسيدس بنز (store.mercedes-benz.com)
- بيرسون (digital-library-qa.pearson.com، digital-library-stg.pearson.com)
- ns-static-assets.s3.amazonaws.com
كان عنوان amazonaws.com هو النطاق الأكثر شيوعًا المرتبط بالمواقع التي لا تزال مرتبطة بموقع polyfill، وهو مؤشر على الاستخدام الواسع النطاق بين مستخدمي استضافة موقع الويب الثابتة S3 من Amazon.
كما وجدت Censys 182 نطاقًا تنتهي بـ .gov، مما يعني أنها تابعة لكيان حكومي. أحد هذه النطاقات هو feedthefuture[.]gov—تابع للحكومة الفيدرالية الأمريكية. فيما يلي تفصيل لأكثر 50 موقعًا تأثرًا هنا.
لم تنجح محاولات الوصول إلى ممثلي Funnull للحصول على تعليق.