Recentemente è stato scoperto un grave attacco alla supply chain che ha coinvolto il servizio Polyfill.io, utilizzato da migliaia di siti web per garantire compatibilità con i browser più vecchi. L’attacco ha colpito oltre 100.000 siti, portando a preoccupazioni significative riguardo la sicurezza online e la fiducia nelle librerie di terze parti.
La Violazione di Polyfill.io
Polyfill.io fornisce “polyfills”, ossia porzioni di codice JavaScript che implementano funzionalità moderne nei browser più datati. Questo servizio è stato compromesso dopo che la gestione del dominio è passata alla società cinese Funnull nel febbraio 2024. Poco dopo, il codice distribuito attraverso Polyfill.io ha iniziato a contenere script dannosi, mirati principalmente a dispositivi mobili, che reindirizzavano gli utenti verso siti di scommesse sportive e contenuti per adulti.
La Risposta della Comunità Tecnologica
L’attacco ha sollevato immediate preoccupazioni tra gli esperti di sicurezza e i fornitori di infrastrutture web. Cloudflare e Fastly hanno rapidamente implementato versioni sicure del servizio Polyfill per mitigare i rischi. Inoltre, Google ha iniziato ad avvisare i propri inserzionisti riguardo i potenziali rischi legati ai siti che caricavano codice da Polyfill.io, bloccando gli annunci su questi siti compromessi.
Raccomandazioni per i Webmaster
Gli esperti di sicurezza raccomandano vivamente di rimuovere immediatamente ogni riferimento a Polyfill.io dai propri siti web. Oltre a questo, è suggerito di adottare misure di sicurezza come:
- Implementare una Content Security Policy (CSP): per limitare le fonti da cui possono essere caricati gli script.
- Utilizzare Subresource Integrity (SRI): per verificare che le risorse scaricate non siano state modificate.
- Monitorare Regolarmente le Dipendenze: effettuare audit di sicurezza periodici per individuare eventuali comportamenti anomali.
L’incidente di Polyfill.io è un chiaro esempio dei rischi associati all’uso di librerie di terze parti e sottolinea l’importanza di adottare pratiche di sicurezza robuste per proteggere la propria infrastruttura web. Le aziende devono rimanere vigili, aggiornare regolarmente le proprie dipendenze e seguire le best practice per la sicurezza.