Über 100'000 Webseiten durch Polyfill-Hack infiziert
Der neue chinesische Eigentümer des beliebten Polyfill JS-Projekts injiziert Malware in über 100'000 Websites. Die Gefahr für Nutzer steigt somit enorm.
Ein beunruhigender Cyberangriff bringt derzeit die digitale Welt durcheinander: Über 100'000 Internetseiten wurden Opfer einer ausgeklügelten Malware-Attacke, eingefädelt über ein beliebtes JavaScript-Projekt namens Polyfill.
Dieses Ereignis markiert einen der grössten Supply-Chain-Angriffe in jüngerer Zeit und wirft ernste Fragen bezüglich der Sicherheit von Open-Source-Bibliotheken auf.
Wer steckt dahinter?
Polyfill.io hält Webanwendungen mit alten Browsern kompatibel. Der weitverbreitete Dienst ist von einem chinesischen Unternehmen namens Funnull übernommen worden – offenbar für böswillige Zwecke.
Dieser hatte im Februar das Ruder übernommen. Danach begannen die Probleme für Nutzer des «cdn.polyfill.io»-Dienstes.
Darunter namhafte Seiten wie JSTOR, Intuit und das World Economic Forum WEF. Die neue Eigentümerschaft nutzte ihre Kontrolle aus, um Schadsoftware gezielt auf Mobilgeräte zu lenken.
Sofortige Massnahmen gefordert
Die Attacke offenbart nicht nur die Schwachstellen in der Lieferkette digitaler Dienste, sondern zwingt auch zum Handeln: Google blockierte umgehend Google Ads für eCommerce-Seiten, die «polyfill.io» nutzen.
Ein deutliches Symptom dafür, wie schnell Unternehmen reagieren müssen, wenn sie nicht mit den Konsequenzen eines solchen Angriffs in Verbindung gebracht werden wollen.
Inzwischen haben sowohl Fastly als auch Cloudflare vertrauenswürdige Alternativen zu Polyfill bereitgestellt. Der Ursprungsentwickler von Polyfill selbst empfiehlt indessen einen kompletten Verzicht auf das Tool – moderne Browser benötigten es ohnehin nicht mehr.
Angriff trifft Infrastruktur hart
Wie Sicherheitsforscher von Sansec in einer Mitteilung erklären, verteilt das Projekt über die mehr als 100'000 Webseiten, auf denen «cdn.polyfill.io» eingebunden ist, Malware an die Endgeräte der Besucher.
Kurz nach Bekanntwerden des Angriffs wurde Sansec selbst Ziel einer DDoS-Attacke. Sogar ihr Zahlungsanbieter setzte vorübergehend seine Dienste aus.
Dies unterstreicht einmal mehr die Komplexität und Vernetzung unserer digitalen Ökosysteme, sowie die Notwendigkeit robuster Sicherheitsmassnahmen gegen solche Bedrohungsszenarien.
Multivektor-Malware enttarnt
Sansecs Forensikteam konnte eine spezielle Malware-Variante identifizieren und entschlüsseln: Diese lenkte Mobilnutzer mittels einer gefälschten Google Analytics Domain (www.googie-anaiytics.com) auf Sportwettenseiten um.
Besonders perfide ist dabei deren Tarnung. Sie aktiviert sich ausschliesslich bei bestimmten mobilen Endgeräten zu vorgegebenen Zeiten und bleibt für Administratoren unsichtbar.
Zudem verzögert diese Malware ihre Ausführung, bis kein Webanalyse-Dienst mehr im Spiel ist. Ein klarer Versuch, unentdeckt zu bleiben.