Wallarmレポート：Polyfillライブラリーを介した大規模なサプライチェーン攻撃

大手サイバーセキュリティー企業Wallarmは、10万以上のウェブサイトに影響を与えた重大なサプライチェーン攻撃を報告した。この攻撃は、広く使用されているPolyfill JavaScriptライブラリーを通じて実行された。このライブラリーは、古いブラウザーで最新のJavaScript機能との互換性を確保するツールだ。このライブラリーは、cdn.polyfill.ioから取得したJavaScriptコードの静的スクリプトインポートを導入するコードを含む、Magentoなどのさまざまなウェブアプリケーションやコンテンツ管理システムに一般的に組み込まれている。

今年初め、Polyfillドメインが中国企業に買収され、攻撃者はこのドメインの制御を悪用し、正規のライブラリーの代わりに悪質なJavaScriptコードを配布した。この悪質な活動により、攻撃者は被害者のブラウザーのコンテキスト内でさまざまな有害なアクションを実行。これらのアクションには、フィッシングサイトへのリダイレクト、機密情報の窃盗、マルウェアの拡散などが含まれる。

この攻撃の性質は、保存型クロスサイトスクリプティング（XSS）に似ており、被害者はウェブページにアクセスする以外に操作を行う必要はない。この種の攻撃の成功は、既に他のウェブサイトで記録されている。Wallarmプラットフォームは、このキャンペーンに関与したpolyfill.ioドメインやその他の悪意のあるドメインからのJavaScriptコードの静的インポートを含む、侵害されたアプリケーションと対応するウェブページを検出するのに役立っている。

この脅威への対応として、Wallarmは、脆弱である可能性のある人々に対して一連の推奨事項を提示した。これには、アプリケーションの依存関係からPolyfillライブラリーを完全に削除することや、ソースコード内に悪意のあるドメインへの参照がないことを確認することなどが含まれる。Polyfillの機能が必要な場合は、信頼できる代替手段の使用を検討することをWallarmは提案している。さらに、アプリケーションユーザーに対する潜在的な攻撃インシデントを徹底的に調査する必要がある。

脆弱性が見つからなかった場合でも、Wallarmは全てのプロジェクト、特にWallarmプラットフォームで保護されていないプロジェクトのソースコードを分析することを推奨している。このプロアクティブなアプローチは、重大な損害が発生する前に潜在的な脅威を特定して軽減するのに役立つだろう。

出典：Wallarm