널리 사용되는 Polyfill(.)io JavaScript 라이브러리를 표적으로 삼는 공급망 공격은 이전에 생각했던 것보다 범위가 더 넓습니다. Censys의 새로운 조사 결과에 따르면 2024년 7월 2일 기준으로 38만 대 이상의 호스트가 악성 도메인에 링크하는 폴리필 스크립트를 내장하고 있는 것으로 나타났습니다.
공격 표면 관리 회사는 HTTP 응답에서 “https://cdn.polyfill(.)io” 또는 “https://cdn.polyfill(.)com”에 대한 참조가 포함된다고 밝혔습니다.
“대략 237,700개가 Hetzner 네트워크(AS24940)에 위치하고 있으며, 주로 독일에 있습니다.”라고 언급했습니다. “이것은 놀라운 일이 아닙니다. Hetzner는 인기 있는 웹 호스팅 서비스이며, 많은 웹사이트 개발자가 이를 활용합니다.”
영향을 받은 호스트에 대한 추가 분석 결과, WarnerBros, Hulu, Mercedes-Benz, Pearson과 같은 유명 기업과 연결된 도메인이 문제의 악성 엔드포인트를 참조하는 것으로 밝혀졌습니다.
공격의 세부 사항은 2024년 6월 말에 Sansec이 Polyfill 도메인에 호스팅된 코드가 사용자를 성인 및 도박 테마 웹사이트로 리디렉션하도록 수정되었다고 경고했을 때 드러났습니다. 코드 변경은 리디렉션이 하루 중 특정 시간에만 발생하고 특정 기준을 충족하는 방문자에 대해서만 이루어지도록 만들어졌습니다.
이러한 사악한 행위는 해당 도메인과 관련 GitHub 저장소가 2024년 2월에 Funnull이라는 중국 회사에 매각된 이후에 시작된 것으로 알려져 있습니다.
이러한 사태 발전으로 인해 도메인 등록 기관인 Namecheap은 해당 도메인을 정지하였고, Cloudflare와 같은 콘텐츠 전송 네트워크는 Polyfill 링크를 대체 안전 미러 사이트로 연결되는 도메인으로 자동 대체하였으며, Google은 해당 도메인을 포함하는 사이트의 광고를 차단하였습니다.
운영자는 polyfill(.)com이라는 다른 도메인으로 서비스를 다시 시작하려고 시도했지만 Namecheap에서도 2024년 6월 28일자로 중단되었습니다. 7월 초부터 등록한 다른 두 도메인(polyfill(.)site 및 polyfillcache(.)com) 중 후자는 계속 작동 중입니다.
게다가 bootcdn(.)net, bootcss(.)com, staticfile(.)net, staticfile(.)org, unionadjs(.)com, xhsbpza(.)com, union.macoms(.)la, newcrbpc(.)com을 포함하여 잠재적으로 관련된 도메인의 보다 광범위한 네트워크가 Polyfill의 유지 관리자와 연결되어 있는 것으로 밝혀졌습니다. 이는 이 사건이 더 광범위한 악성 캠페인의 일부일 가능성이 있음을 시사합니다.
Censys는 “이러한 도메인 중 하나인 bootcss(.)com은 polyfill(.)io 공격과 매우 유사한 악의적인 활동에 관여하는 것으로 관찰되었으며, 증거는 2023년 6월로 거슬러 올라갑니다.”라고 언급하며 이러한 의심스러운 도메인에 링크된 160만 개의 공개 호스트를 발견했다고 덧붙였습니다.
“polyfill.io 공격에 책임이 있는 동일한 악의적 행위자가 앞으로 비슷한 활동을 위해 이러한 다른 도메인을 악용할 가능성을 고려하는 것은 전적으로 비합리적이지 않을 것입니다.”
WordPress 보안 회사인 Patchstack은 수십 개의 합법적인 플러그인을 통해 불법 도메인에 연결되는 콘텐츠 관리 시스템(CMS)을 운영하는 사이트에 Polyfill 공급망 공격이 발생하여 연쇄적인 위험이 발생할 수 있다고 경고했습니다.