Polyfill[.]io Attack Impacts Over 380,000 Hosts, Including Major Companies – OfficialSarkar
व्यापक रूप से इस्तेमाल किए जाने वाले पॉलीफ़िल को लक्ष्य करके आपूर्ति श्रृंखला पर हमला[.]io जावास्क्रिप्ट लाइब्रेरी का दायरा पहले की अपेक्षा अधिक व्यापक है, नये निष्कर्ष सेन्सस की रिपोर्ट से पता चलता है कि 2 जुलाई 2024 तक 380,000 से अधिक होस्ट दुर्भावनापूर्ण डोमेन से लिंक करने वाली पॉलीफ़िल स्क्रिप्ट एम्बेड कर रहे हैं।
इसमें “https://cdn.polyfill” के संदर्भ शामिल हैं[.]io” या “https://cdn.polyfill[.]com” का प्रयोग अपने HTTP प्रत्युत्तर में किया है, ऐसा आक्रमण सतह प्रबंधन फर्म ने कहा है।
इसमें कहा गया है, “लगभग 237,700, हेट्ज़नर नेटवर्क (AS24940) के अंतर्गत स्थित हैं, मुख्य रूप से जर्मनी में।” “यह आश्चर्यजनक नहीं है – हेट्ज़नर एक लोकप्रिय वेब होस्टिंग सेवा है, और कई वेबसाइट डेवलपर्स इसका लाभ उठाते हैं।”
प्रभावित होस्ट्स के आगे के विश्लेषण से पता चला है कि वार्नरब्रोस, हुलु, मर्सिडीज-बेंज और पियर्सन जैसी प्रमुख कंपनियों से जुड़े डोमेन, उक्त दुर्भावनापूर्ण एंडपॉइंट का संदर्भ देते हैं।
हमले का विवरण जून 2024 के अंत में सामने आया जब सैंसेक ने चेतावनी दी कि पॉलीफ़िल डोमेन पर होस्ट किए गए कोड को उपयोगकर्ताओं को वयस्क और जुआ-थीम वाली वेबसाइटों पर पुनर्निर्देशित करने के लिए संशोधित किया गया था। कोड में बदलाव इस तरह किए गए थे कि पुनर्निर्देशन केवल दिन के कुछ निश्चित समय पर और केवल उन आगंतुकों के खिलाफ होता था जो कुछ निश्चित मानदंडों को पूरा करते थे।
ऐसा कहा जाता है कि यह नापाक व्यवहार तब शुरू हुआ जब डोमेन और उससे संबंधित GitHub रिपोजिटरी को फरवरी 2024 में Funnull नामक एक चीनी कंपनी को बेच दिया गया।
इसके बाद से डोमेन रजिस्ट्रार नेमचीप ने डोमेन को निलंबित कर दिया है, क्लाउडफ्लेयर जैसे कंटेंट डिलीवरी नेटवर्क ने पॉलीफिल लिंक को स्वचालित रूप से वैकल्पिक सुरक्षित मिरर साइटों की ओर ले जाने वाले डोमेन से बदल दिया है, तथा गूगल ने डोमेन एम्बेड करने वाली साइटों के विज्ञापनों को ब्लॉक कर दिया है।
जबकि ऑपरेटरों ने पॉलीफ़िल नामक एक अलग डोमेन के तहत सेवा को फिर से शुरू करने का प्रयास किया[.]com, यह भी था नीचे ले लिया 28 जून 2024 तक नेमचेप द्वारा। दो अन्य डोमेन जुलाई की शुरुआत से उनके द्वारा पंजीकृत – पॉलीफ़िल[.]साइट और पॉलीफ़िलकैश[.]com – बाद वाला अभी भी चालू है।
इसके अलावा, एक और व्यापक नेटवर्क संभावित रूप से संबंधित डोमेन, जिसमें bootcdn भी शामिल है[.]नेट, बूटसीएसएस[.]कॉम, स्टेटिकफ़ाइल[.]नेट, स्टेटिकफ़ाइल[.]org, यूनियनएडज[.]कॉम, xhsbpza[.]कॉम, यूनियन.मैकॉम्स[.]ला, न्यूसीआरबीपीसी[.]com के बारे में पता चला है कि यह घटना पॉलीफिल के अनुरक्षकों से जुड़ी हुई है, जो यह दर्शाता है कि यह घटना एक व्यापक दुर्भावनापूर्ण अभियान का हिस्सा हो सकती है।
“इनमें से एक डोमेन, bootcss[.]com को दुर्भावनापूर्ण गतिविधियों में संलग्न पाया गया है जो पॉलीफ़िल के समान ही हैं[.]io हमले की जांच की गई है, जिसके साक्ष्य जून 2023 तक के हैं,” सेन्सिस ने कहा, और कहा कि इसने 1.6 मिलियन सार्वजनिक होस्ट की खोज की है जो इन संदिग्ध डोमेन से जुड़े हैं।
“इस संभावना पर विचार करना पूरी तरह से अनुचित नहीं होगा कि polyfill.io हमले के लिए जिम्मेदार वही दुर्भावनापूर्ण अभिनेता भविष्य में इसी तरह की गतिविधियों के लिए इन अन्य डोमेन का शोषण कर सकता है।”
यह विकास वर्डप्रेस सुरक्षा कंपनी पैचस्टैक के रूप में आता है आगाह पॉलीफिल आपूर्ति श्रृंखला हमले से उन साइटों पर होने वाले खतरों की व्यापक चर्चा हो रही है, जो सामग्री प्रबंधन प्रणाली (सीएमएस) को दर्जनों वैध प्लगइन्स के माध्यम से चला रही हैं, जो कि नकली डोमेन से लिंक हैं।
Source: TheHackerNews