26.06.2024 10:40

Supply-Chain-Angriff gegen polyfill.js

Die populäre Javascript-Bibliothek polyfill.js, welche von Entwickler:innen verwendet wird, um alte Browserversionen zu unterstützen, wurde Opfer eines Supply-Chain-Angriffes beziehungsweise für einen solchen missbraucht. Im Februar dieses Jahres wurde das Github-Repository sowie die zur Einbettung des Codes verwendete Domain, polyfill[.]io von einem chinesischen Unternehmen gekauft. Inzwischen wird, wie Sicherheitsforscher:innen herausgefunden haben, über die Domain polyfill[.]io Schadsoftware verteilt.

Dies bedeutet in weiterer Folge, dass Besucher:innen von Webseiten, welche diesen Service nutzen, ebenfalls gefährdet sind. Laut aktuellen Berichten werden Aufrufe von Besucher:innen häufig auf Betrugswebseiten weitergeleitet. Dementsprechend ist es für verantwortliche Administrator:innen betroffener Seiten auch aus kommerzieller Sicht wichtig, rasch zu handeln - Google hat Werbungen, die auf Webshops verlinken, welche die Domain polyfill[.]io einbetten bereits deaktiviert / gesperrt.

Neben der Untersuchung auf potentiellen Schaden durch diesen Angriff sollten Entwickler:innen ebenso prüfen, ob die Notwendigkeit der Verwendung nach wie vor besteht. Für Webseiten, welche weiterhin auf die Bibliothek angewiesen sind, gibt es (neben der Möglichkeit, diese selbst zu hosten) die Option, die Angebote großer CDN zu nutzen - beispielsweise Cloudflare oder Fastly.