روابط عمومی شرکت ایدکو (توزیع‌کننده‌ی محصولات کسپرسکی در ایران)؛ اگر وبسایت شما از اسکریپت  Polyfill.io استفاده می‌کند، توصیه می‌کنیم آن را هرچه سریعتر حذف کنید: این سرویس در حال ارسال کد مخرب به بازدیدکنندگان شماست. در این مقاله قرار است توضیح دهیم  Polyfill.io چیست، چرا استفاده از آن خطرناک شده و در صورت استفاده از آن چه اقدامات امنیتی باید انجام داد.

معرفی polyfills و Polyfill.io

Polyfill یک تکه کد است که ویژگی‌هایی را پیاده‌سازی می‌کند که در غیر این صورت برخی نسخه‌های مرورگر پشتیبانی نمی‌شوند. این معمولاً کد جاوااسکریپت است که برای  HTML5, CSS3, JavaScript API و سایر استانداردها و فناوری‌هایی که توسعه‌دهندگان را از شر پشتیبانی مرورگرهای عجیب و غریب یا از رده خارج خلاص می‌کند پشتیبانی اضافه می‌کند. دوران اوج Polyfills دهه 2010 بود وقتی HTML5 و CSS3 به تدریج کنترل وب را گرفت. Polyfill.io سرویسی است که کمک می‌کند به طور خودکار polyfillهایی که مرورگر برای نمایش وبسایت خاص نیاز دارد ارائه می‌دهد. این سرویس هم به دلیل کارایی‌ای که دارد (فقط  polyfillهایی که نیاز دارید لود می‌شوند) و برای آپدیت‌های منظمش در فناوری‌ها و استانداردهایی که استفاده می‌شوند محبوبیت دارد. پیاده‌سازی سرراست آن هم یکی از عوامل محبوبیت بوده است: همه آنچه توسعه‌دهنده برای شروع استفاده از  Polyfill.io دارد اضافه کردن رشته کوتاهیست در کد وبسایت تا اسکریپت سرویس، فعالسازی شود. Polyfill.io در اصل توسط تیم توسعه وب Financial Times ساخته شد. در فوریه 2024، این سرویس به همراه دامنه مربوطه و اکانت گیت‌هاب به ارائه‌دهنده چینی به نام Funnull فروخته شد. و درست شش ماه بعد دردسرها شروع شد.

کد مخرب از cdn.polyfill.io

در ماه ژوئن 2024، محققین Sansec پی بردند cdn.polyfill.io شروع کرده به ارائه کد مخرب به کاربران وبسایتی که از Polyfill.io استفاده می‌کرده. این کد از دامنه تایپی استفاده می‌کرد که وانمود می‌کرد Google Analytics است -[code] www.googie-anaiytics.com[/code] – تا کاربران را به سایت شرط‌بندی ورزش‌های ویتنامی هدایت کند. به گفته محققین، این اولین باری نبود که Polyfill.io شروع کرده بود به پخش ک مخرب. آن‌هایی که متوجه این رفتار خطرناک شده بودند شروع کردند به کامنت گذاشتن در گیت‌هاب اما دارندگان جدید Polyfill.io خیلی سریع همه نقدها را پاک کردند. این اسکریپت بالقوه آسیب‌زننده ظاهراً روی بیش از 100 هزار وبسایت که برخی‌شان وبسایت‌های اصطلاحاً کله‌گنده‌ای هستند ارائه شده.

Google Ads: یک دلیل دیگر برای حذف Polyfill.io

اگر بازدیدکنندگانی که اسکریپت مخرب دریافت کردند وضعیت را نگران‌کننده نبینند، Google Ads به اپراتورهای وبسایت دلیل معتبری می‌دهد تا دست بجنبانند و مشکل را برطرف کنند. سرویس تبلیغاتی گوگل، نمایش آگهی‌های متصل به وبسایت‌هایی را که از چندین سرویس اسکریپت‌های مخرب را توزیع می‌کنند به حالت تعلیق درآورده. علاوه بر Polyfill.io، این لیست شامل Bootcss.com، Bootcdn.net و Staticfile.org می‌شود. همچنین بهتر است سرویس‌های فوق‌الذکر را روی وبسایت خود متوقف کنید؛ در غیر این صورت ریسک از دست دادن ترافیک وجود خواهد داشت زیرا کنترل کاربران به دست اسکریپت‌های مخرب می‌افتد و گوگل ادز هم دیگر تبلیغ نمی‌کند.

محافظت در برابر حمله  Polyfill.io

در اینجا چند راهکار امنیتی برای جلوگیری از این حمله وجود دارد:

•         اسکریپت Polyfill.io را در اسرع وقت  همراه با اسکریپت‌های Bootcss.com، Bootcdn.net و Staticfile.org از وبسایت خود حذف کنید
•         به طور کلی polyfillها را رها کنید. توسعه‌دهنده Polyfill.io، که انجام این کار را توصیه می‌کند، می‌گوید polyfills دیگر موضوعیت ندارد.
•         اگر نمی‌توانید به هر دلیلی از این توصیه پیروی کنید، از جایگزین‌های Clouflare یا Fastly استفاده کنید.
•         به طور کلی، سعی کنید تعداد اسکریپت‌های خارجی که وبسایت‌تان استفاده می‌کند کم کنید. هر کدام از آن‌ها می‌تواند حکم آسیب‌پذیریِ احتمالی را داشته باشد.

کسپرسکی آنلاین (ایدکو)

کسپرسکی اسم یکی از بزرگترین شرکتهای امنیتی و سازنده آنتی ویروس است که برخی از کاربران اشتباهاً این شرکت و محصولات آنتی ویروس آن را با عناوینی نظیر کسپرسکای،کاسپرسکی، کسپراسکای، کسپراسکای، و یا کاسپراسکای نیز می‌شناسد. همچنین لازم به ذکر است مدیرعامل این شرکت نیز یوجین کسپرسکی نام دارد.