Un recentissimo attacco alla supply chain ha colpito Polyfill.io, un web service ampiamente diffuso e utilizzato da oltre 100.000 siti web, che consente di garantire la compatibilità con le moderne funzionalità offerte dai browser più recenti anche ai browser più datati. In sostanza, un polyfill è un pezzo di codice, comunemente JavaScript, che aggiunge funzionalità moderne a browser più vecchi che nativamente non le supportano. E’ stato riscontrato che il dominio associato al servizio, cdn.polyfill.io, è stato compromesso, il ché ha favorito la possibilità di effettuare injection di codice malevolo al fine di ottenere reindirizzamenti a siti fraudolenti tramite i quali vengono catturati dati sensibili degli utenti.

I fatti

È stato scoperto che nel febbraio 2024, una compagnia cinese di nome Funnull ha acquistato il dominio cdn.polyfill.io e l’account GitHub associato. Successivamente a questa acquisizione il codice originale polyfill.js è stato alterato per generare script malevoli che si attivano in base agli header HTTP inviati dal browser dell’utente. Il client viene quindi indirizzato ad un falso dominio di Google Analytics (www.googie-anaiytics[.]com) che porta a siti indesiderati.

Le vittime

Risulta inoltre che il codice malevolo è progettato per evitare il rilevamento da parte di utenti amministratori del sito o degli strumenti di analisi web: si attiva solo in orari specifici e principalmente su dispositivi mobili, ritarda la sua esecuzione e ignora le sessioni amministrative. Questi meccanismi sofisticati hanno permesso di colpire un vasto numero di utenti senza destare immediatamente dei sospetti. Tra le vittime importanti al momento si riscontrano JSTOR, Intuit e il World Economic Forum.
Lo stesso autore originale di Polyfill, Andrew Betts, dopo la vendita del dominio ha raccomandato di non utilizzare più questo servizio.

Sospensione del dominio

Il registrar Namecheap, gestore del dominio malevolo, ha già preso provvedimenti sospendendo e bonificando il dominio compromesso.

Alla luce di tutto quanto emerso fin’ora, si consiglia vivamente di rimuovere comunque del tutto Polyfill.io dai propri siti web.

Aggiornare le dipendenze

E’ fondamentale che i siti web che fanno riferimento al dominio originale di Polyfill aggiornino anche le loro dipendenze, poiché attualmente i servizi di Polyfill.io non sono più erogati e ciò potrebbe causare malfunzionamenti ai servizi che prima lo utilizzavano.

Le fonti pubbliche

Le prime evidenze raccolte da questo CERT da due importanti fonti pubbliche:

• https://polykill.io/
• https://publicwww.com/

fanno emergere che sono stati impattati anche numerosi siti della PA nazionale, motivo per cui il CERT-AgID si è già attivato per allertare e mitigare le conseguenze di questo attacco verso le entità della propria constituency e, più in generale, verso entità delle PA coinvolte.

Gli IoC per la PA

Il CERT-AgID ha già diramato gli indicatori di compromissione verso le strutture pubbliche accreditate al Flusso IoC.