蓝点网
·
开发者请注意:Polyfill出现供应链攻击调用该脚本会跳转到非法网站
💡
原文中文,约1200字,阅读约需3分钟。
📝
内容提要
Polyfill.js被供应链攻击感染,已被修改以将用户重定向到恶意网站。开发者报告了问题,但反馈被删除。为避免进一步损害,建议开发者从网站中移除Polyfill.js。Google已采取行动,阻止使用Polyfill.js的所有网站使用其Google Ads广告系统。
🎯
关键要点
- Polyfill.js遭到供应链攻击,已被修改为重定向用户到恶意网站。
- 开发者报告问题后,反馈被删除,建议立即移除Polyfill.js。
- 该脚本在全球超过10万个网站使用,主要用于支持旧版浏览器。
- 攻击者通过购买域名和Github账户实施投毒,用户通过搜索引擎访问时会被重定向。
- Polyfill.js设置了多种技术措施以避免被发现,包括延时和随机性跳转。
- 此次攻击是典型的供应链攻击,影响范围广泛,尤其是电商网站。
- 开发者在社交平台上建议停止使用Polyfill.js,现代浏览器已不再需要该脚本。
- 谷歌已采取措施,屏蔽所有使用Polyfill.js的网站在其广告系统中的投放。
❓
延伸问答
Polyfill.js遭到什么类型的攻击?
Polyfill.js遭到供应链攻击,已被修改为重定向用户到恶意网站。
开发者应该如何应对Polyfill.js的安全问题?
开发者应立即从网站中移除Polyfill.js,以避免进一步损害。
为什么Polyfill.js的反馈被删除?
因为拥有该账户的公司故意删除反馈,以避免更多开发者知晓问题。
Polyfill.js的攻击是如何实施的?
攻击者通过购买域名和Github账户,修改脚本进行投毒,用户通过搜索引擎访问时会被重定向。
谷歌对使用Polyfill.js的网站采取了什么措施?
谷歌已在其广告系统中屏蔽所有使用Polyfill.js的网站,避免其投放广告。
使用Polyfill.js的主要风险是什么?
主要风险是用户会被重定向到非法网站,可能导致投诉或其他问题。
🏷️
标签
➡️
