Update: Schadcode in Websites eingeschleust über Software-Bibliothek polyfill.js

Die Warnmeldung wurde am 5. Juli 2024 aufgrund weiterführender Informationen aktualisiert. 

Ende Juni 2024 warnte der Sicherheits-Software-Anbieter Sansec davor, dass die Open-Source-Software-Bibliothek polyfill.js von Angreifenden zum Einschleusen von schadhaftem Code in Websites missbraucht wird. polyfill.js ist eine Bibliothek, die in Websites integriert werden kann, um deren Kompatibilität mit älteren Webbrowsern zu verbessern. Die Domain sowie das Github-Repository des dazugehörigen Open-Source-Projekts wurden im Februar 2024 vom chinesischen Unternehmen Funnull gekauft und werden daher nicht mehr vom ursprünglichen Entwickler-Team kontrolliert. 

Im Juni 2024 wurden Fälle publik, in denen Nutzende ungewollt zu maliziösen und betrügerischen Websites weitergeleitet wurden, wenn diese über bestimmte Smartphones und zu spezifischen Uhrzeiten Websites mit integrierter polyfill.js-Bibliothek aufriefen. Laut den Nachrichtenseiten Bleepingcomputer sowie Heise sind wohl über 100.000 Websites weltweit verwundbar.

Das Cybersecurity-Unternehmen Censys veröffentlichte am 2. Juli 2024 einen ausführlichen Bericht mit Neuigkeiten zur Thematik. Statt der ursprünglich von Sansec gemeldeten 100.000 Websites seien weltweit 384.773 Hosts betroffen. Darunter befinden sich namhafte Firmen wie Hulu, WarnerBros. und Mercedes-Benz. Die meisten betroffenen Websites werden vom deutschen Hosting-Anbieter Hetzner gehostet.

Die Übernahme und das maliziöse Umfunktionieren von polyfill.js ist besorgniserregend, da die Bibliothek weltweit stark verbreitet ist. Zudem sind die von Sansec analysierten maliziösen Code-Segmente mit Verschleierungstaktiken ausgestattet, die bösartige Aktivitäten möglichst lang unerkannt lassen. 

• Wenn Sie eine Website betreiben, prüfen Sie, ob diese auf polyfill.js zurückgreift.
  • Hierzu können Sie im Quelltext prüfen, ob ein eigenes <script>-Code-Fragment eingefügt ist, das zum Nachladen des Skripts von der polyfill.js-Domain anweist.
  • Wenn ein solches <script>-Code-Fragment im Quellcode Ihrer Website enthalten ist, entfernen Sie dieses.
  • Wenn Sie die Website über ein Web Content Management System (WCMS) betreiben, prüfen Sie, ob dort ein Plugin installiert ist, dass die Einbindung von polyfill.js übernimmt.
  • Wenn ein solches Plugin installiert ist, entfernen Sie dieses.
• Wenn polyfill.js in Ihrer Website integriert ist, entfernen Sie die Integration umgehend.
• Wenn Ihre Website eine JavaScript-Bibliothek zur Kompatibilität mit veralteten Browsern benötigt, integrieren Sie eine sichere Alternative zu polyfill.js.
• Website-Nutzende sollten Netzwerkverbindungen zu cdn.polyfill.io pauschal blockieren oder Skript-Blocker einsetzen, um das Laden maliziöser Skripts aus polyfill.js zu unterbinden.