中国公司收购Polyfill之后植入恶意程序

  polyfill.js 是广泛使用的用于支持旧浏览器的开源库,有逾 10 万网站通过 cdn.polyfill.io 域名嵌入了该脚本。今年二月,一家中国公司收购了该域名和相关 Github 账号,然后通过 cdn.polyfill.io 向移动设备植入恶意程序。新拥有者还迅速删除了 Github 上的相关讨论。Polyfill 原作者建议移除该脚本,因为现代浏览器不再需要它,但如果必须使用,可以用 CDN 服务商 Fastly 和 Cloudflare 的替代。

  安全研究人员发现,植入的恶意程序使用假的 Google 分析域名 www.googie-anaiytics.com 将移动设备用户重定向到博彩网站。代码针对逆向工程有特定保护代码,而且只在特定时间对特定移动设备激活。它在检测到管理员后不会激活。当检测到网络分析服务时它会延迟执行。研究人员给恶意程序起名为“跳转(tiaozhuan)”——恶意代码使用的一个函数名叫 check_tiaozhuan。

  https://sansec.io/research/polyfill-supply-chain-attack