Muitos criadores de sites usam um pequeno código JavaScript, conhecido como “polyfill”, que é capaz de converter algumas das funcionalidades dos navegadores mais recentes no mercado para serem compatíveis com versões antigas dos mesmos.
No entanto, recentemente uma troca de domínios e mudança de titular do mesmo pode ter causado com que mais de 100.000 websites pela internet estivessem a distribuir malware e a direcionar utilizadores para sites de esquemas e burlas.
O domínio IO do pollyfill foi descoberto como estando a distribuir versões modificadas deste código, contendo partes que poderiam direcionar os utilizadores para conteúdos de terceiros ou para possíveis esquemas.
O domínio foi usado durante vários anos por quem criava websites onde este JavaScript era usado, e isso inclui o domínio base da CDN onde o JavaScript se encontrava. Portanto, muitos websites mantiveram o mesmo durante os anos para carregar os conteúdos.
No entanto, no início deste ano, a empresa chinesa “Funnull”, que era desconhecida até então, adquiriu os direitos do domínio. Agora sabe-se que quem controla o domínio começou a disponibilizar versões modificadas do código, contendo redirecionamentos para sites de spam.
Em Fevereiro de 2024, Andrew Betts, o criador original do polyfill, alertou para os programadores não usarem o domínio .IO para carregar o código, e invés disso, usarem os seus próprios servidores ou plataformas alternativas e seguras. No entanto, tendo em conta a antiguidade de muitos sites, ainda existem diferentes plataformas onde o domínio original foi mantido.
Investigadores da Sansec confirmaram a semana passada que o script começou a carregar agora conteúdos maliciosos de redirecionamento. Ou seja, mais de 100.000 websites pela internet que estariam a usar o script sobre o domínio IO começaram a carregar agora a versão modificada do mesmo.
Além do impacto direto para sites que usam este script, existem ainda dependências de diferentes programas que continuam a usar as versões maliciosas do script agora a ser carregado.
Embora o script atualmente esteja a carregar uma versão segura do mesmo na plataforma da Cloudflare, os registos podem novamente ser alterados a qualquer momento para uma versão maliciosa.
Caso tenha um site onde este script esteja a carregar, o recomendado será modificar o mesmo para uma versão segura, em plataformas como o CDNJS ou JSDelivr.
Nenhum comentário
Seja o primeiro!