“Polyfill.io” Supply Chain Attack

Titre“Polyfill.io” Supply Chain Attack
Numéro de Référence
48371207/24
Date de publication
12 juillet 2024
Niveau de Risque
Critique
Niveau d'Impact
Critique

Une vulnérabilité a été identifiée concernant l'utilisation de Polyfill.io, un service populaire de polyfills JavaScript largement implémenté dans des applications Webs. Une compagne d'attaque par supply chain est détectée qui permet à des acteurs malveillants d'injecter du code compromis via ce service, affectant ainsi les applications web qui l'utilisent. Les attaquants ont pu modifier les fichiers polyfills hébergés sur Polyfill.io, entraînant l'exécution de code malveillant dans les navigateurs des utilisateurs finaux.

 Cette attaque peut mener à des vols de données, des redirections vers des sites malveillants, ou même à la prise de contrôle de l'environnement d'exécution des utilisateurs.

Recommandations :

  • Mise à jour immédiate : Vérifiez les versions des polyfills utilisés dans vos projets et supprimer immédiatement celui de « Polyfill.io ».
  • Audit de sécurité : Réalisez un audit de sécurité de votre code et de vos dépendances pour identifier d’éventuelles failles.
  • Utilisation de CDNs de confiance : Évaluez l'utilisation de Content Delivery Networks (CDNs) pour charger des polyfills, en choisissant des sources réputées.
  • Surveillance : Mettez en place des mécanismes de surveillance pour détecter des comportements suspects dans vos applications.

Référence :

Brochure:

“Polyfill.io” Supply Chain Attack.pdf

Pour signaler tout contenu numérique criminel, incluant atteinte à la sécurité des individus et des groupes, louanges ou incitations au terrorisme, et atteinte aux droits et libertés des enfants, utilisez la plateforme suivante : www.e-blagh.ma

DGSSI2024 All rights reserved