Waspada Polyfill.io Supply Chain Attack
June 29, 2024
Deskripsi
1
Supply Chain Attack adalah serangan yang digunakan untuk menyusup ke suatu sistem atau jaringan targetnya dengan memanfaatkan alat atau layanan dari third party. Metode serangan ini kemudian dimanfaatkan pada domain Polyfill.io, sebuah pengembangan kode/library berbasis JavaScript. Library pada domain tersebut awalnya bekerja dengan lancar di berbagai versi browser yang digunakan oleh developer aplikasi.
Metode Serangan
2
Polyfill.io Supply Chain Attack terjadi karena servis dan domain Polyfill.io telah dibeli oleh threat actor. Kemudian dilakukan modifikasi script dengan menyisipkan malicious code yang otomatis terpasang di semua situs yang sebelumnya sudah menggunakan library Polyfill.io. Hal ini berdampak pada pengguna yang mengakses situs-situs tersebut.
Indicator of Compromise
3
Terdapat beberapa Indicator of Compromise (IoC) pada script yang digunakan untuk mengarahkan pengguna ke situs berbahaya. IoC tersebut berupa situs analitik palsu sebagai berikut:
- hxxps://googie-anaiytics[.]com
- hxxps://kuurza[.]com
Mitigasi
4
- Pertimbangkan Kembali kebutuhan penggunaan library Polyfill. Jika masih diperlukan, cari alternatif provider Polyfill di CDN lain yang terpercaya (Source no.2).
- Bagi pengelola IT, pertimbangkan untuk menambah IoC pada perimeter deteksi dan proteksi yang ada di perusahaan
Source:
- https://www.bleepingcomputer.com/news/security/polyfillio-javascript-supply-chain-attack-impacts-over-100k-sites/
- https://blog.cloudflare.com/automatically-replacing-polyfill-io-links-with-cloudflares-mirror-for-a-safer-internet
