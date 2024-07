Zo'n 385.000 hosts wijzen nog altijd naar een JS-scripts op het malafide domein Polyfill.io, zo stelt securitybedrijf Censys op basis van eigen onderzoek. Het domein is wegens een supplychain-aanval door registrar Namecheap geschorst, maar het geeft aan dat een groot aantal partijen na berichtgeving over de aanval niet in actie zijn gekomen.

Polyfill.js is een opensource-library waarmee websites allerlei functionaliteit aan oudere browsers kunnen bieden. Een groot aantal websites laadt hun Polyfill.js-bestand vanaf het domein polyfill.io. De domeinnaam en het GitHub-account werden begin dit jaar door een Chinees bedrijf overgenomen. Sinds begin juni werd via Polyfill.io malafide code aangeboden, die werd uitgevoerd op websites die er gebruik van maken. Deze code zorgde ervoor dat bezoekers van deze websites in bepaalde gevallen naar andere sites werden doorgestuurd.

Vanwege de aanval besloot registrar Namecheap de domeinnaam polyfill.io op 27 juni te schorsen, om zo het directe risico te beperken. Gisteren waren er nog altijd 385.000 hosts die naar het malafide domein wijzen, aldus Censys. Een groot deel daarvan draait in Duitsland bij hostingprovider Hetzner. Onder de hosts die naar het domein wijzen bevinden zich domeinen van Warner Bros, Hulu, Mercedes-Benz en Pearson.

"De schattingen over het aantal getroffen websites verschillen enorm. Sansec meldt 100.000, terwijl Cloudflare het over 'tientallen miljoenen' heeft. Het is in ieder geval duidelijk dat deze supplychain-aanval een grote impact heeft", aldus Censys. Cloudflare is inmiddels begonnen met het aanpassen van verwijzingen naar het domein op de websites van klanten. Google blokkeert advertenties van webshops die naar Polyfill.io linken en adblocker uBlock Origin heeft het domein aan de filterlijst toegevoegd. De Chinese partij achter Polyfill.io laat via X weten dat het nieuwe domeinnamen heeft, maar die blijken inmiddels ook niet meer te werken.