受信任的JavaScript库Polyfill.io成为恶意软件传播系统。安全专家揭露了此次攻击及其对网站访问者的潜在影响。了解此次供应链攻击如何凸显Web开发安全的重要性，以及开发人员可以采取哪些措施来保护用户。

一次重大供应链攻击已入侵使用Polyfill(Polyfill.io)的网站，Polyfill.io是一种JavaScript CDN服务，超过100000个网站使用该服务来传递JavaScript代码。安全研究人员警告称，cdnpolyfillio域名已被入侵，用于在脚本中提供恶意代码。必须指出的是，该域名于2024年2月被Funnull公司收购。

Polyfill.io是一个开源库，其中包含一些代码片段，可确保旧版浏览器能够理解仅在新版本中提供的功能。这样一来，开发人员就可以使用现代网络标准和API，而不会出现兼容性问题，并且可以编写代码，同时确保其在旧环境中正常运行。

Sansec在2024年6月25日发布的报告中写道，新所有者涉嫌向Polyfill.io库注入了恶意代码。继续使用受感染cdn.polyfill.io资源的网站在不知情的情况下将访问者暴露在潜在威胁之下。

Sansec的研究显示：“今年2月，一家中国公司购买了该域名和GitHub帐户。从那时起，该域名被发现通过任何嵌入cdn.polyfill.io的网站向移动设备注入恶意软件。”

旧金山安全监控公司c/side创始人Simon Wijckmans也在其公告中发出警告，敦促网站所有者从其应用程序中删除polyfillio域名。Wijckmans指出，攻击者隐藏了该域名，类似于JavaScript威胁，这为恶意行为者提供了一条诱人的途径。

进一步调查发现，恶意代码根据HTTP标头生成有效负载，从而逃避检测并避开管理员用户。该代码通过使用cdnpolyfillio的网站注入设备。用户可能会收到被篡改的JavaScript文件，包括虚假的Google Analytics链接，将其重定向到体育博彩和色情网站。恶意代码是JavaScript，可能会引入新的攻击，例如表单劫持、点击劫持和更广泛的数据盗窃。

开发人员Andrew Betts在2月份警告Polyfill用户可能存在恶意活动。Betts在X上的帖子中建议用户在出售后停止使用polyfillio域名并删除对CDN的引用。

Google已屏蔽使用Polyfill.io服务的电子商务网站的广告，并主动分享了如何缓解此问题的信息，以帮助受影响的广告商保护其网站。网络基础设施提供商Cloudflare和Fastly已提供替代端点，以帮助用户摆脱polyfillio。

Polyfill.io事件凸显了供应链安全、持续监控和开源协作在Web开发中的重要性。开发人员在集成外部资源时应谨慎行事，并优先考虑安全实践。定期的安全审计和代码审查对于识别漏洞和防止利用至关重要。