吳明宜日本電機業者東芝 (Toshiba) 與零售業者無印良品 (Muji) 上週陸續警告消費者,留意網站上出現的可疑跳出式登入視窗,以免帳號密碼遭竊。不過,受影響網站似乎仍持續增加。
兩週前,造訪這兩家日商網站的消費者,可能會看到一個跳出式登入提示視窗,要求輸入帳號密碼。事實上,該視窗是由代管於 polyfill[.]io 網域外部惡意伺服器、透過 CDN 傳送的 JavaScript 所產生,並顯示於使用者瀏覽器端。使用者一旦輸入任何資訊,資料就會回傳至該伺服器。
東芝與無印良品分別於 6 月 2 日、 6 月 3 日說明,部分網站遭感染後顯示該登入提示頁。東芝表示正努力清除該視窗,並呼籲消費者不要輸入帳號密碼;若曾輸入資料,應立即變更密碼。
無印良品則表示已停用相關服務。該公司目前未發現網站遭非授權存取或資訊外洩,但仍呼籲曾輸入使用者名稱與密碼的用戶,變更該網站及其他服務的密碼。
Polyfill 供應鏈攻擊再度浮現
這起攻擊源自 2024 年初 Polyfill 網域所有權轉移。 Polyfill 專案原本是為了解決不同瀏覽器(例如舊版 IE)不支援新版 JavaScript 語法的問題。開發者可在網站中引入 cdn.polyfill.io 服務,由其自動偵測使用者瀏覽器,並補上缺少的功能程式碼。該服務歷史悠久,且採用開原碼模式,全球曾有大量網站直接在程式碼中嵌入其連結。
後來,一家名為 Funnull 的中國公司收購 polyfill[.]io 網域與 GitHub 儲存庫。原作者當時並不清楚該公司的意圖。 2024 年,資安業者發現新買家掌控網域後,修改 CDN 伺服器後端邏輯。當使用者瀏覽器向 polyfill[.]io 請求正常的 JavaScript 修補程式時,伺服器可能動態產生含有惡意程式碼的 JavaScript 。
當符合條件的真實使用者造訪嵌入該連結的網站時,惡意 JavaScript 便會在使用者瀏覽器中執行。它可能顯示偽造中獎或系統警告跳出視窗 (pop-up windows),引導使用者下載檔案,或將分頁強制重新導向至賭博網站、色情網站或釣魚網站,以竊取信用卡等資料。這起 polyfill[.]io 事件在 2024 年初引發全球性供應鏈攻擊,估計影響超過 10 萬個網站,其中包括多個知名網站。
該專案原作者 Andrew Betts 曾公開建議網站擁有者移除該服務,並改用新網域 polyfill.com 。他也重新推出 JavaScript CDN 服務,後來固定使用 polyfill.top 。不過,許多網站並未更新連結。資安研究人員 Pasquale Pillitteri 發現,polyfill[.]io 於今年 3 月再度活動,並開始回應 HTTP 401 驗證請求。
日媒報導,包括象印、醫材業者 FiNC Technologies 、出版商 Ishiyaku 及文具品牌 Hobonichi 等日商網站也受到影響。 Pillitteri 則發現,三星 Smart TV 及相關網站也出現這類登入頁。
來源: BleepingComputer 、 Zvelo