Na última semana, o Polyfill.io foi alvo de um ataque à cadeia de suprimentos que atingiu mais de 110 mil sites. O serviço é uma popular biblioteca JavaScript que permite que funcionalidades modernas possam ser incorporadas em navegadores que não as suportam nativamente.
Este ataque de cadeia de suprimentos comprometeu sites ao injetar código malicioso através do domínio “cdn[.]polyfill[.]io”, o qual redirecionava usuários para sites maliciosos. Segundo relatos, o problema surgiu após a aquisição do domínio por uma empresa chinesa, Funnull, que teria introduzido as alterações maliciosas na biblioteca.
Em resposta, o criador original do Polyfill.io, Andrew Betts, recomendou a remoção imediata da biblioteca dos sites afetados, destacando que a maioria dos recursos modernos já é amplamente suportada pelos navegadores atuais, eliminando a necessidade de utilizar o serviço.
Após o ataque, os atuais proprietários relançaram o serviço em um novo domínio, alegando terem sido vítimas de uma campanha de difamação. Antes do domínio antigo ser removido do ar, ele contava com uma mensagem sugerindo que o serviço poderia estar sendo endossado pela Cloudflare; a própria Cloudflare negou o envolvimento e pediu para que seu nome fosse removido do site.
Em meio a essa polêmica, a PROOF by SEK reforça que o serviço não deve ser considerado seguro no momento, e usuários devem removê-lo imediatamente de seus sites se ainda não o fizeram. Cloudflare e Fastly, por exemplo, ofereceram soluções alternativas para ajudar os usuários a migrarem suas implementações. Seguiremos acompanhando os desdobramentos e nos colocamos à disposição para auxiliar nossos clientes e parceiros, caso seja necessário.