マルウェア混入が発覚したJavaScriptライブラリ「Polyfill.io」のドメインを登録事業者が停止

マルウェアが混入されていることが発覚したJavaScriptライブラリ「Polyfill.io」のドメインを、ドメイン登録事業者のNamecheapが停止しました。

Namecheap Takes Down Polyfill.io Service Following Supply Chain Attack - Socket
https://socket.dev/blog/namecheap-takes-down-polyfill-io-service-following-supply-chain-attack

「Polyfill.io(polyfill.js)」はアンドリュー・ベッツ氏が開発した、ウェブブラウザのバージョン間で存在する機能の違いを気にすることなく開発を進めることができるというJavaScriptライブラリです。ベッツ氏はすでにプロジェクトを離脱しており、メンテナーだったジェイク・チャンピオン氏がプロジェクトを引き継ぎ、2024年2月に中国の方能(Funnull)に売却されました。オーナーが方能に変わったのち、cdn.polyfill.ioを埋め込んだサイトを介して、モバイル端末にマルウェアを感染させる試みが確認されています。

JavaScriptライブラリ「Polyfill.io」にマルウェアが混入され10万以上のサイトに影響 - GIGAZINE

cdn.polyfill.ioが埋め込まれたウェブサイトの数は11万を超えるとも指摘されており、影響を受ける企業にはAtlassian、Sendgrid、JSTOR、Intuit、世界経済フォーラム、FlatIcon、SiteGround、政府系ウェブサイトなどが含まれます。GoogleはPolyfill.ioの影響を受けるウェブサイトを持つ企業に対し、警告を発しています。

Polyfill.ioの影響を鑑み、ドメイン登録事業者のNamecheapはPolyfill.ioのドメインである「polyfill.io」を削除することを決定しました。

なお、自己ホスト型のpolyfill.jsインスタンスと、より信頼性の高い組織によってホストされているインスタンスは今回の影響を受けません。加えて、CloudflareとFastlyは、記事作成時点でPolyfill.ioの代替クローンを提供しています。

一方で、Polyfill.ioの公式X(旧Twitter)アカウントは、「Polyfill.ioを中傷するメディアメッセージを発見しました。当社のサービスはCloudflareにキャッシュされており、サプライチェーンにリスクはありません」と投稿し、Polyfill.ioにマルウェアが混入されているという指摘を否定しています。

さらに、「誰かが悪意を持って我々の名誉を傷つけました。すべてのコンテンツは静的にキャッシュされているため、サプライチェーンへのリスクはありません。第三者が関与すると、あなたのウェブサイトに潜在的なリスクをもたらす可能性があります。しかし、我々の評判を危険にさらすこととなるため、誰もそんなことはしないでしょう」と言及し、Polyfill.ioのサービスに危険性はないと主張しています。

ただし、セキュリティプラットフォームのSocketはPolyfill.ioの危険性を主張しており、記事作成時点でもPolyfill.ioのサービスを利用している人に対して、以下の4つの修正点を挙げています。

1：cdn.polyfill.ioを使用しているサイトは、直ちに削除する必要があります。
2：Polyfill.ioのサービスを使用しているかどうか不明な場合は、サプライチェーン攻撃を追跡しているPolykillで、コード検索ツールあるいはIDEを使用して、組織内のすべてのプロジェクトのソースコードでcdn.polyfill.ioのインスタンスを検索することを推奨しています。
3：Polyfill.ioのサービスが必要な場合は、 FastlyとCloudflareが提供している信頼できる代替手段を利用してください。
4：安全で管理された環境でリポジトリを自己ホストすることも可能です。

なお、Socketは「信頼できない、あるいは新しい所有者にいつの間にか権利を譲渡してしまったサードパーティーサービスは、プロジェクトのコードを監査する必要があるという最新の事例です。依存関係を定期的に確認して更新することで、将来このような攻撃に巻き込まれるリスクを軽減できます」と警告しました。