Serangan rantai pasok terhadap Polyfill JS, memengaruhi lebih dari 100 ribu situs

 (sansec.io)
8 poin oleh GN⁺ 2024-06-26 | 3 komentar | Bagikan ke WhatsApp
  • Polyfill.js adalah pustaka open source untuk mendukung browser lama, dan digunakan di lebih dari 100 ribu situs
  • Pada Februari tahun ini, setelah sebuah perusahaan Tiongkok mengakuisisi domain dan akun Github Polyfill.js, mereka mulai menyuntikkan malware ke perangkat seluler melalui domain tersebut
  • Pembaruan 25 Juni: Google sudah mulai memblokir iklan Google untuk situs e-commerce yang menggunakan polyfill.io
  • Metode serangan: kode yang dibuat secara dinamis berdasarkan header HTTP hanya aktif pada waktu tertentu di perangkat seluler tertentu, dan jika mendeteksi pengguna admin atau layanan analitik web, eksekusinya ditunda
  • Contoh malware: mengalihkan pengguna seluler ke situs taruhan olahraga melalui domain Google Analytics palsu (www. googie-anaiytics .com).
  • Langkah penanganan: penulis asli Polyfill.js merekomendasikan agar pustaka ini tidak lagi digunakan karena tidak lagi diperlukan di browser modern, dan Fastly serta Cloudflare menyediakan alternatif tepercaya.
  • Insiden ini merupakan contoh khas serangan rantai pasok.
  • Alat tambahan: layanan pemantauan CSP gratis dari Sansec, Sansec Watch, dan pemindai backend eComscan mendukung deteksi Polyfill.io

Opini GN⁺

  • Risiko serangan rantai pasok: ini adalah contoh yang jelas tentang risiko keamanan yang dapat muncul ketika proyek open source diakuisisi. Terutama, semakin luas sebuah pustaka digunakan, semakin besar pula dampak kerugiannya.
  • Penggunaan pustaka alternatif: penting untuk menggunakan alternatif tepercaya seperti Fastly dan Cloudflare. Selain itu, jika dukungan untuk browser modern sudah memadai, menghentikan penggunaan Polyfill.js juga patut dipertimbangkan.
  • Pentingnya pemantauan keamanan: penting untuk menggunakan alat keamanan seperti layanan pemantauan CSP guna mengawasi perubahan kode secara real time.
  • Deteksi admin dan eksekusi tertunda: metode malware yang mendeteksi admin atau layanan analitik lalu menunda eksekusi merupakan upaya untuk menghindari solusi keamanan, sehingga diperlukan langkah penanganan untuk hal ini.
  • Edukasi dan peningkatan kesadaran: penting bagi developer dan operator untuk memahami risiko serangan rantai pasok, serta mengikuti edukasi keamanan berkala dan tren keamanan terbaru.

Bacaan terkait

3 komentar

 
xguru 2024-06-30

Bukan hanya domain polyfill.io, tetapi juga bootcdn.net, bootcss.com, staticfile.net, staticfile.org, unionadjs.com, xhsbpza.com, union.macoms.la, dan newcrbpc.com disebut perlu diblokir.
 
humblebee 2024-06-26

https://id.news.hada.io/topic?id=15118
Sekitar sebulan lalu saya melihat isu ini dibahas di GN dan terus mengikutinya dengan perhatian. Bahkan jika penyebab masalahnya sudah cukup terungkap, rasanya strukturnya tetap membuat banyak pihak akan terus terekspos pada serangan selama waktu yang dibutuhkan untuk pemulihan dan tindak lanjut. Saya juga khawatir insiden pelanggaran keamanan akan terus meningkat dan fenomena kurangnya ahli keamanan akan makin memburuk untuk sementara waktu.
 
GN⁺ 2024-06-26
Komentar Hacker News

  • Risiko menggunakan CDN publik: Menggunakan CDN publik dapat menyebabkan malware disuntikkan ke perangkat seluler. Untuk menguranginya, SRI (Subresource Integrity) bisa digunakan, tetapi solusi terbaik adalah melakukan hosting langsung melalui layanan CDN.

  • Perspektif teori permainan: Pemeliharaan perangkat lunak open source harus mendukung banyak situs tanpa imbalan, dan pada akhirnya hal ini dapat menimbulkan masalah keamanan.

  • Konten eksternal di Washington Post dan Fox News: Kedua situs web tersebut sama-sama memuat banyak konten eksternal, dan ini bisa menjadi target serangan.

  • Prediksi Cloudflare: Cloudflare sudah memperkirakan masalah seperti ini dan menyediakan solusi untuk menguranginya.

  • Pendapat pencipta layanan Polyfill: Ia membuat proyek layanan Polyfill, tetapi tidak memiliki kepemilikan domainnya, dan kini domain tersebut menyuntikkan malware. Disarankan untuk segera menghentikan penggunaannya.

  • Masalah yang sudah diperkirakan: Ini adalah masalah yang sudah diperkirakan sejak 4 bulan lalu, dan lebih banyak orang seharusnya menyadari serta menanganinya.

  • Pengalihan ke situs taruhan olahraga: Ada kasus pengguna dialihkan ke situs yang tidak mereka inginkan, dan ini bisa efektif terhadap sebagian pengguna.

  • Kurangnya penyebutan SRI: Mengejutkan bahwa artikel tersebut tidak menyebut SRI. SRI adalah solusi berbiaya rendah dengan efektivitas tinggi.

  • Percakapan dengan para pengembang: Banyak pengembang tidak peduli terhadap pembajakan CDN, dan ini dapat menimbulkan masalah keamanan.

  • Rekomendasi self-hosting: Selalu lebih baik meng-host dependensi sendiri, dan ini juga membantu melindungi privasi pengguna.