![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Es gab einen Lieferketten-Angriff gegen das JavaScript-Framework Polyfill, und der neue chinesische Besitzer hat begonnen, Malware \u00fcber das Content Delivery Network dieser Domain auszuliefern. Google hat zwar begonnen, ADs zu blockieren, wenn Webseiten Polyfill verwenden. Sicherheitsforscher gehen aber davon aus, dass mehr als 100.000 Webseiten gef\u00e4hrdet sind.<\/p>\n
<\/p>\n
Polyfill-JavaScript-Code bzw. Polyfill-Skripte im Allgemeinen lassen sich direkt in das HTML-Dokument eines Webprojekts einbetten. Dabei integrieren sie sich nahtlos in den bestehenden Quellcode und werden bei korrekter Programmierung nur dann ausgef\u00fchrt, wenn der zugreifende Browser das jeweilige Webfeature tats\u00e4chlich nicht unterst\u00fctzt. IONOS hat hier<\/a> eine umfangreichere Beschreibung zu Polyfill erstellt.<\/p>\n Nennenswerte Nutzer sind JSTOR, Intuit und das Weltwirtschaftsforum. Polyfill wird auch in verschiedenen Webpaketen wie Magento (eCommerce-Shop) oder WordPress (CMS) eingesetzt. Hier ist aber ein genauer Blick erforderlich, was genau eingesetzt wird.<\/p>\n Es gibt eine Domain poliyfill.io<\/em>, die den Polyfill-JS-Code \u00fcber ein Content-Delivery-Network ausliefert. Im Februar 2024 ging diese Domain und das GitHub-Konto an einen chinesischen Eigent\u00fcmer und jetzt liefert dieser \u00fcber cdn.poliyfill.io<\/em> Malware aus. Die betreffende Information ist mir bereits vor Tagen untergekommen (Urlaubs-bedingt habe ich es nicht thematisiert).<\/p>\n Die Leute von Sansec haben den Sachverhalt im Artikel Polyfill supply chain attack hits 100K+ sites<\/a> dokumentiert. Der Polyfill-Code wird dynamisch auf der Grundlage der HTTP-Header generiert, so dass verschiedene Angriffsmethoden denkbar sind. Die Leute von Sansec haben eine bestimmte Malware entschl\u00fcsselt und dokumentiert, die mobile Nutzer \u00fcber eine gef\u00e4lschte Google-Analytics-Domain (www.googie-anaiytics.com) auf eine Sportwettseite umleitet. Der Code verf\u00fcgt \u00fcber einen speziellen Schutz gegen Reverse Engineering und wird nur auf bestimmten mobilen Ger\u00e4ten zu bestimmten Zeiten aktiviert. Er wird auch nicht aktiviert, wenn er einen Admin-Benutzer erkennt. Au\u00dferdem verz\u00f6gert er die Ausf\u00fchrung, wenn ein Webanalysedienst gefunden wird, vermutlich um nicht in den Statistiken zu landen.<\/p>\n Google hat bereits am 25. Juni 2024 damit begonnen, Google Ads f\u00fcr eCommerce-Seiten zu blockieren, die polyfill.io<\/em> verwenden. Und die Sansec-Webseite ist inzwischen Ziel von DDoS-Angriffen um deren Infrastruktur und den Artikel aus dem Internet zu bekommen. Im Tweet wird erw\u00e4hnt, dass diese Seite in Magento-Modulen eingebettet wird und so \u00fcber 110.000 Webseiten betroffen seien. Sansec hat die Details der ausgelieferten Malware in seinem Artikel dokumentiert. Hinweise auf dieses Verhalten wurden schnell aus dem Github-Repository entfernt (Archiv hier<\/a>).<\/p>\n Die Kollegen von Bleeping Computer haben den Sachverhalt hier<\/a> zeitnah dokumentiert. Die Domain polyfill.io<\/em> wurde vom Registrar Namecheap abgeschaltet, nachdem Forscher den Malware-Befall aufgedeckt hatten. Zudem hat Clouflare damit begonnen, die Polyfill-Codebestandteile aus ausgelieferten Webseiten zu entfernen. Bleeping-Computer hat dies in diesem Beitrag<\/a> aufgegriffen und einige Informationen dazu zusammengetragen.<\/p>\n Laut diesem Bleeping Computer-Beitrag<\/a> haben die Besitzer der Domain Polyfill.io den JavaScript-CDN-Dienst auf einer neuen Domain wieder gestartet (siehe dieser Tweet<\/a>). Weiterhin behaupten sie, der Polyfill-Dienst sei \"b\u00f6swillig verleumdet\" worden und es habe \"Medienmeldungen gegeben, die Polyfill verleumden\" (siehe auch diesen Tweet<\/a>). Der Dienst als solcher d\u00fcrfte aber verbrannt sein und es gibt die Empfehlung, diesen Dienst aus Webprojekten auszubauen.<\/p>\n Ich habe mal kurz im Quellcode des Blogs nachgesehen – auch in WordPress wird Polyfill verwendet – und in diesem Artikel<\/a> beschreibt jemand diesen Einsatz als unverantwortlich. Denn viele Experten sind der Meinung, dass Polyfill l\u00e4ngst nicht mehr ben\u00f6tigt wird und eigentlich entfernt geh\u00f6rt. Dem kann ich mich anschlie\u00dfen, aber ob eine Seite durch den Polyfill-Lieferkettenangriff gef\u00e4hrdet ist, h\u00e4ngt davon ab, ob cdn.polyfill.io<\/em> eingebettet wurde. heise hat es in diesem Artikel<\/a> thematisiert, die Seiten, die sich auf diese Domain st\u00fctzen, binden den Code des chinesischen Anbieters ein. Es gibt aber von Fastly und Cloudflare Alternativen zum oben genannten Dienst.<\/p>\n Denn nur diese (inzwischen abgeschaltete) Domain bzw. das CDN ist unter chinesischer Kontrolle und liefert(e) sporadisch Malware aus. Das Open-Source-Projekt selbst ist nicht betroffen.<\/p>\n In WordPress werden die Polyfill-Routinen aber direkt als .js<\/em>-Dateien aus diesem Open Source-Projekt eingebunden (siehe folgenden Codeauszug sowie den Screenshot), haben also mit obigem CDN nichts zu tun.<\/p>\n Daher gibt es diesbez\u00fcglich imho auch keine Gef\u00e4hrdung von WordPress-Seiten. Ich bin aber gespannt, ob der Vorfall dazu f\u00fchrt, dass der Polyfill-JS-Code k\u00fcnftig in WordPress ausgebaut wird.<\/p>\n","protected":false},"excerpt":{"rendered":" Es gab einen Lieferketten-Angriff gegen das JavaScript-Framework Polyfill, und der neue chinesische Besitzer hat begonnen, Malware \u00fcber das Content Delivery Network dieser Domain auszuliefern. Google hat zwar begonnen, ADs zu blockieren, wenn Webseiten Polyfill verwenden. Sicherheitsforscher gehen aber davon aus, … Weiterlesen Bei polyfill<\/a>.js handelt es sich um eine beliebte Open-Source-Bibliothek zur Unterst\u00fctzung \u00e4lterer Browser. Der JavaScript-Code soll in \u00e4lteren Browsern neuere, von diesen nicht unterst\u00fctzte Funktionen mittels eines Workarounds nachr\u00fcsten. Beispielsweise sind Features von HTML5 und CSS in \u00e4lteren Browsern nicht verf\u00fcgbar.<\/p>\n
Lieferkettenangriff, was ist passiert?<\/h2>\n
![\"Polyfill](\"https:\/\/i.postimg.cc\/tJQ3dbYx\/image.png\" "\\"Polyfill")
<\/a><\/p>\nPolyfill ist nicht polyfill.io<\/h2>\n
![\"Polyfill](\"https:\/\/i.postimg.cc\/0572D7Tz\/image.png\" "\\"Polyfill")
<\/p>\n<script type=\"text\/javascript\" src=\"https:\/\/borncity.com\/blog\/wp-includes\/js\/dist\/vendor\/wp-polyfill-inert.min.js?ver=3.1.2\" id=\"wp-polyfill-inert-js\"><\/script>\r\n...\r\n<script type=\"text\/javascript\" src=\"https:\/\/borncity.com\/blog\/wp-includes\/js\/dist\/vendor\/wp-polyfill.min.js?ver=3.15.0\" id=\"wp-polyfill-js\"><\/script><\/pre>\n