Red Hot Cyber, il blog italiano sulla sicurezza informatica
Red Hot Cyber
La cybersecurity è condivisione. Riconosci il rischio, combattilo, condividi le tue esperienze ed incentiva gli altri a fare meglio di te.
Cerca

Attacco alla Supply Chain: Il servizio Polyfill.js Reindirizza 110.000 Siti Web verso Truffe Online!

RHC Dark Lab : 27 Giugno 2024 14:19

Google ha intrapreso azioni per bloccare gli annunci su siti di e-commerce che utilizzano il servizio Polyfill.io dopo che il dominio è stato acquisito da un’azienda cinese, che ha poi modificato la libreria JavaScript “polyfill.js” per reindirizzare gli utenti verso siti dannosi e fraudolenti.

Un rapporto di Sansec pubblicato martedì 25 giugno ha rilevato che oltre 110.000 siti web che incorporano questa libreria sono stati coinvolti nell’attacco alla supply chain.

Dettagli della Violazione

Polyfill.io è un servizio che fornisce una libreria JavaScript chiamata Polyfill.js. Questa libreria è utilizzata dai siti web per garantire la compatibilità del loro codice con diversi browser, specialmente quelli più vecchi che non supportano le nuove funzionalità JavaScript.

Vorresti toccare con mano la Cybersecurity e la tecnologia? Iscriviti GRATIS ai WorkShop Hands-On della RHC Conference 2025 (Giovedì 8 maggio 2025)

Se sei un ragazzo delle scuole medie, superiori o frequenti l'università, oppure se solamente un curioso, il giorno giovedì 8 maggio 2025 presso il teatro Italia di Roma (a due passi dalla stazione termini e dalla metro B di Piazza Bologna), si terranno i workshop "hands-on", creati per far avvicinare i ragazzi alla sicurezza informatica e alla tecnologia. Questo anno i workshop saranno:

  • Creare Un Sistema Ai Di Visual Object Tracking (Hands on)
  • Social Engineering 2.0: Alla Scoperta Delle Minacce DeepFake
  • Doxing Con Langflow: Stiamo Costruendo La Fine Della Privacy?
  • Come Hackerare Un Sito WordPress (Hands on)
  • Il Cyberbullismo Tra Virtuale E Reale
  • Come Entrare Nel Dark Web In Sicurezza (Hands on)
    •
    Potete iscrivervi gratuitamente all'evento, che è stato creato per poter ispirare i ragazzi verso la sicurezza informatica e la tecnologia.
    Per ulteriori informazioni, scrivi a [email protected] oppure su Whatsapp al 379 163 8765


    Supporta RHC attraverso:


    Ti piacciono gli articoli di Red Hot Cyber? Non aspettare oltre, iscriviti alla newsletter settimanale per non perdere nessun articolo.

    A febbraio, sono emerse preoccupazioni dopo la sua acquisizione da parte di Funnull, una società cinese specializzata in distribuzione di contenuti (Content Delivery Network). 

    Dopo l’acquisizione, l’azienda cinese ha modificato il codice della libreria Polyfill.js in modo da reindirizzare gli utenti a siti web dannosi o fraudolenti. Questo tipo di attacco è chiamato: Supply Chain Attacks,una categoria specifica di attacchi che prende di mira la catena di approvvigionamento di un’organizzazione. 

    Andrew Betts, colui che ha sviluppato e lanciato il progetto in origine, ha esortato immediatamente i gestori dei siti web a rimuovere la libreria dai loro siti, affermando che “nessun sito web oggi ha bisogno dei polyfill presenti nella libreria polyfill[.]io”, questo perchè la maggior parte delle nuove funzionalità della piattaforma web sono ormai adottate da tutti i principali browser. Alcune nuove funzionalità, come Web Serial e Web Bluetooth, non possono essere gestite tramite polyfill, e quindi non trarrebbero beneficio dall’uso di Polyfill.io.

    Questa situazione ha spinto fornitori di infrastrutture web come Cloudflare e Fastly a fornire endpoint alternativi per facilitare la migrazione da polyfill[.]io. Questi endpoint alternativi non sono altro che URL da cui è possibile caricare la libreria Polyfill.js da una fonte sicura e affidabile, sostituendo quella compromessa.

    Post Twitter di Andrew Betts 

    La società di sicurezza e-commerce olandese ha rilevato che il dominio “cdn.polyfill[.]io” è stato utilizzato per iniettare malware, indirizzando gli utenti verso siti di scommesse sportive e pornografici.

    “Il codice è protetto contro il reverse engineering e si attiva solo su specifici dispositivi mobili in determinate ore”, ha spiegato. 

    Dunque, il codice malevolo iniettato è stato protetto contro il reverse engineering, utilizzando tecniche di offuscamento avanzate.

    Nel dettaglio:

    • Il malware si attiva solo su specifici dispositivi mobili in determinate ore, questo comportamento può rendere più difficile la rilevazione. 
    • Non si attiva quando rileva che l’utente è un amministratore poiché potrebbero notare il comportamento anomalo. 
    • Ritarda l’esecuzione in presenza di servizi di analisi web. Questi servizi raccolgono dati sul comportamento degli utenti e sulle prestazioni del sito, e se il malware si attivasse immediatamente, potrebbe essere facilmente individuato dalle anomalie generate nei dati di analisi. Per questo motivo, il malware attende un momento più opportuno per attivarsi, quando è meno probabile che venga notato.

    Queste tecniche sofisticate rendono il malware particolarmente insidioso, perché riesce a compromettere i siti web e a danneggiare gli utenti in modo furtivo e mirato.

    Intervento di Google

    Google ha deciso di bloccare gli annunci per i siti di e-commerce che utilizzano Polyfill.io. Questo è un tentativo di proteggere gli utenti da potenziali truffe e danni che potrebbero derivare dall’interazione con questi siti compromessi.

    Google letter to advertisers about supply chain attack

    Violazione Correlata 

    La società di sicurezza c/side di San Francisco ha emesso un avviso simile a quello della società olandese, segnalando che i gestori del dominio compromesso cdn.polyfill[.]io hanno aggiunto un’intestazione di sicurezza fornita da Cloudflare tra il 7 e l’8 marzo 2024. L’intestazione di sicurezza potrebbe essere un tentativo di proteggere ulteriormente il sito o di camuffare l’attività malevola.

    Segue poi un avviso relativo ad una grave vulnerabilità di sicurezza, identificata come CVE-2024-34102 che colpisce siti che utilizzano Adobe Commerce e Magento, due popolari piattaforme di e-commerce. Questa vulnerabilità ha un punteggio CVSS di 9.8 su 10, indicando un livello di gravità estremamente alto. Nonostante siano disponibili delle patch per correggere questa vulnerabilità dall’11 giugno 2024, molti siti non le hanno ancora applicate. La vulnerabilità consente agli attaccanti di leggere file privati sui server colpiti, questi file possono contenere informazioni sensibili. Sansec ha denominato la catena di exploit che sfrutta questa vulnerabilità CosmicSting.

    Se combinata con un recente bug in Linux noto come iconv (CVE-2024-2961), questa vulnerabilità diventa ancora più pericolosa. Il bug iconv in Linux consente l’esecuzione di codice remoto, il che significa che un attaccante può eseguire comandi arbitrari sul server colpito, trasformando la situazione in un incubo di sicurezza. È stato poi scoperto che terze parti possono ottenere accesso amministrativo all’API senza bisogno di sfruttare il bug iconv (CVE-2024-2961), aumentando la gravità del problema.

    RHC Dark Lab
    RHC Dark Lab è un gruppo di esperti della community di Red Hot Cyber dedicato alla Cyber Threat Intelligence guidato da Pietro Melillo. Partecipano al collettivo, Sandro Sana, Alessio Stefan, Raffaela Crisci, Vincenzo Di Lello, Edoardo Faccioli e altri membri che vogliono rimanere anonimi. La loro missione è diffondere la conoscenza sulle minacce informatiche per migliorare la consapevolezza e le difese digitali del paese, coinvolgendo non solo gli specialisti del settore ma anche le persone comuni. L'obiettivo è diffondere i concetti di Cyber Threat Intelligence per anticipare le minacce.

    Articoli in evidenza

    Apple promette la Traduzione Simultanea. Gli AirPods avranno una tecnologia alla Star Trek

    Apple prevede di introdurre una funzione di traduzione simultanea nelle cuffie AirPods, secondo le informazioni provenienti da fonti Bloomberg. La nuova funzionalità consentirà agl...

    Una PE in Microsoft Windows sfruttata da 2 anni Nel Patch Tuesday. Aggiornare avverte CISA e ACN

    All’interno del Patch Tuesday di marzo è stata inclusa la CVE-2025-24983, una Vulnerabilità di elevazione dei privilegi del sottosistema kernel Win32 di Microsoft Windows. La Cybersec...

    Ragazzi, Pronti per i Workshop della RHC Conference? Scopriamo assieme Deepfake, AI, Darkweb, Ethical Hacking, Doxing e Cyberbullismo

    Giovedì 8 maggio, la Red Hot Cyber Conference 2025 ospiterà un’intera giornata dedicata ai ragazzi con i Workshop Hands-on (organizzati in collaborazione con Accenture Italia). Si tra...

    Arriva NightSpire! Un Nuovo Attore nel Panorama del Ransomware

    Nelle ricognizioni nel mondo dell’underground e dei gruppi criminali svolte dal laboratorio di intelligence delle minacce DarkLab di Red Hot Cyber, ci siamo imbattuti all’interno di un D...

    FUNKSEC rivendica un attacco Informatico All’Università di Modena e Reggio Emilia. Scopri i dettagli

    Nella giornata di oggi, la banda di criminali informatici di FUNKSEC rivendica all’interno del proprio Data Leak Site (DLS) un attacco informatico all’università italiana di Modena ...

    Categorie
    Segui i corsi di ethical hacking di CyberSecurityUP
    Banner
    Redhotcyber è un progetto di open-news nato nel 2019 e successivamente ampliato in una rete di persone che collaborano alla divulgazione di informazioni e temi incentrati la tecnologia, l'Information Technology e la sicurezza informatica, con lo scopo di accrescere i concetti di consapevolezza del rischio ad un numero sempre più crescente di persone.

    PRINCIPALI CATEGORIE
    Attacchi Informatici Italiani
    Dark Web & Cybercrime
    0day, bug e Vulnerabilità
    Hacking
    Cybersecurity Italia
    Cyberpolitica & Intelligence

    RISORSE
    Academy
    Rubriche
    Il manifesto di Red Hot Cyber
    Feed RSS

    Copyright @ REDHOTCYBER Srl
    PIVA 17898011006