Le PA che utilizzano sui loro siti il servizio Polyfill.io sono invitate a rimuoverlo al più presto. È quanto suggerisce il CERT-AgID in merito all’attacco alla supply chain che ha colpito il web service Polyfill.io, ampiamente diffuso e utilizzato da oltre 100.000 siti web.
Cos’è un polyfill
Un polyfill è un pezzo di codice, comunemente JavaScript, che aggiunge funzionalità moderne a browser più vecchi che nativamente non le supportano. Dalle ultime scoperte, è stato riscontrato che il dominio associato al servizio, cdn.polyfill.io, è stato compromesso, favorendo la possibilità di effettuare injection di codice malevolo al fine di ottenere reindirizzamenti a siti fraudolenti tramite i quali catturare dati sensibili degli utenti.
Cosa fare
Il registrar Namecheap, gestore del dominio malevolo, ha già preso provvedimenti sospendendo e bonificando il dominio compromesso.
Oltre a eliminare quel servizio, è fondamentale assicurarsi che sui siti web che facevano riferimento al dominio originale di Polyfill vengano aggiornate anche le dipendenze, poiché attualmente i servizi di Polyfill.io non sono più erogati e ciò potrebbe causare malfunzionamenti ai servizi che prima lo utilizzavano.
Il CERT-AgID si è già attivato per allertare e mitigare le conseguenze di questo attacco verso le entità della propria constituency e, più in generale, verso entità delle PA coinvolte, mentre sta procedendo alla rimozione del plugin anche dai propri siti esposti. Per maggiori informazioni è possibile consultare l’approfondimento pubblicato sul sito del CERT-AgID.