知名静态资源CDN加速服务 Staticfile.org发生供应链投毒,请尽快更换
起因
一大早收到就收到朋友的反馈,博客样式存在问题。排查了一下是被Ublock禁止了,原来CDN 服务 Staticfile 出事了
于是去 VirusTotal 检测了一下 Staticfile 的两个域名 .org和.net
啊,这….9个报风险,这个…于是去Ublock看下下Issues 和 Pull requests
事件具体情况
- 1. 年初某中国公司购买了 Polyfill.io 域名与 github 账户。
- 2. Polyfill.io 被发现发生供应链投毒,通过 cdn.Polyfill.io 引入的 JS 会被附加恶意代码。
- 3. 攻击者最近不小心泄露了自己的他们的 Cloudflare 密钥,被发现他同时控制了,Polyfill.io,BootCDN、Bootcss、Staticfile 4家知名静态文件CDN。。
- 4. 谷歌在6月中旬开始给广告投放站点发邮件,警告管理员需要排除这4家供应商,以免出现恶意跳转影响广告投放。啥概念,Polyfill.io 大概全球有4%的网站在用…七牛云的Staticfile在国内也是被大量开源项目所使用的 5.最近国内黑产团队很喜欢供应链投毒啊
恶意代码会做什么
如果使用了上述4家的CDN服务,那么返回JS代码,在特定条件下会被额外加入一段混淆后的JS代码。该代码会在特定时间在特定移动设备上,将用户跳转到风险网站,比如赌球博彩网站(最近不是欧洲杯嘛)代码会检测运行环境,如果发现有anaiytics分析代码,比如谷歌分析,百度站长,matomo,Umami,恶意代码会延迟跳转,以免被在统计数据中看出端倪,如果发现是管理员,则完全不会运行。如果发现是电脑也不会跳转,如果发现启动了分析工具也不会跳转。
我该怎么办
清理自己网站上涉及 Polyfill.io,BootCDN、Bootcss、Staticfile的代码,换成安全的 CDN 比如Cloudflare和JSDELIVR
原创文章,作者:速盾高防cdn,如若转载,请注明出处:https://www.sudun.com/ask/93385.html
