Source: Slashdot
据Ars Technica报道,有超过38.4万个网站链接到一个上周被发现进行供应链攻击的网站,将访问者重定向到恶意网站。多年来,托管在polyfill[.]com的JavaScript代码是一个合法的开放源项目,允许旧版浏览器处理不支持的高级功能。2月份,总部在中国的Funnull公司收购了这个域名和托管JavaScript代码的GitHub账户。6月25日,来自安全公司Sansec的研究人员报告称,在polyfill域名上托管的代码已被更改,将用户重定向到色情和赌博主题的网站。
揭露此事后,行业内普遍呼吁采取行动。Sansec报告发布两天后,域名注册商Namecheap暂停了该域名,有效阻止了恶意代码在访问设备上运行。即使如此,诸如Cloudflare等内容传送网络开始自动将pollyfill链接替换为导向安全镜像站点的域名。
谷歌屏蔽了嵌入Polyfill[.]io域名的网站的广告。网站拦截器uBlock Origin将该域名添加到其过滤列表中。原Polyfill.io创建者Andrew Betts敦促网站所有者立即删除与该代码库的链接。
周二时,恶意行为曝光正好一周,根据安全公司Censys的研究人员,仍有384,773个网站链接到该网站。一些网站与主流公司如Hulu、梅赛德斯-奔驰和华纳兄弟以及联邦政府有关联。这些发现凸显了供应链攻击的威力,通过感染所有人都依赖的共同来源,可以向数千万人传播恶意软件。
供应链攻击对于网络安全具有重大威胁,呼吁广大用户警惕网络攻击风险。
特别声明:本文及配图均为用户上传或者转载,本文仅代表作者个人观点和立场,不代表平台观点。其原创性以及文中陈述文字和内容未经本站证实,
对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本平台不作任何保证或承诺,请读者仅作参考,
并请自行核实相关内容。如发现稿件侵权,或作者不愿在本平台发布文章,请版权拥有者通知本平台处理。
Copyright Disclaimer: The copyright of contents (including texts, images, videos and audios)
posted above belong to the User who shared or the third-party website which the User shared from.
If you found your copyright have been infringed, please send a DMCA takedown notice to
info@microheadline.com
来源:https://tech.slashdot.org/story/24/07/05/1919211/384000-sites-pull-code-from-sketchy-code-library-recently-bought-by-chinese-firm?utm_source=rss1.0mainlinkanon&utm_medium=feed
https://recon.news.blog/2024/07/04/article-384000-sites-pull-code-from-sketchy-code-library-recently-bought-by-chinese-firm/
https://fedia.io/m/technology%40lemmy.world/t/954448/384-000-sites-pull-code-from-sketchy-code-library-recently-bought/votes/up
