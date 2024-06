Cloudflare vervangt in een zeer ongebruikelijke stap alle verwijzingen naar het Polyfill.io-domein. De open-source library voor JavaScript-toepassingen zou na een Chinese overname vooral kwaadaardige code verspreiden. Daardoor lopen websitebezoekers kans via hun browser omgeleid te worden naar malafide sites. Links naar Polyfill-code op de sites van Cloudflare-klanten verwijzen nu naar een veilige mirror.

Sinds 8 juni blijkt Polyfill.io kwaadaardige JavaScript-code te verspreiden. Deze code zorgt ervoor dat websitebezoekers naar andere websites worden doorverwezen dan ze willen. Deze situatie volgt op een overname van de domeinnaam en het GitHub-account van Polyfill eerder dit jaar door de onbekende Chinese CDN-operator Funnull.

Polyfill.io staat bekend als een open-source code library die websiteontwikkelaars gebruiken om allerlei functionaliteit aan oudere browsers te geven. Via het Polyfill.js-bestand is het dan mogelijk dat eindgebruikers van oudere browsers toch de betreffende websites kunnen bezoeken en gebruiken. Ongeveer 100.000 websites gebruiken deze functionaliteit.

Uitzonderlijke maatregel Cloudflare

CDN-aanbieder Cloudflare is de verspreiding van malafide code in het verkeerde keelgat geschoten en heeft daarom de uitzonderlijke maatregel genomen om direct bij zijn klanten in te grijpen. Cloudflare stuurt nu automatisch verwijzingen van hun klanten naar het Polyfill.io-domein door naar een eigen, veilige mirror voor de betreffende code.

Bovendien zou Polyfill.io ten onrechte een ‘endorsement’ van Cloudflare op zijn website hebben vermeld. De CDN-gigant geeft aan dat hiervoor nooit toestemming is verleend en dat een verzoek tot verwijdering is genegeerd. Dit laatste is volgens Cloudflare nogmaals een bewijs dat de dienst (niet meer) kan worden vertrouwd.

Automatische doorverwijzing

Voor klanten die voor deze specifieke verwijzingen de gratis proxydienst van Cloudflare gebruiken, wordt de doorverwijzing helemaal automatisch uitgevoerd. Betalende klanten moeten de doorverwijzing naar de veilige mirror zelf met één klik handmatig inschakelen. Alle klanten kunnen de optie ook weer uitzetten.

Verder roept Cloudflare zijn websitebeheerders op alle bestaande Polyfill-code te verwijderen omdat die mogelijk kwaadaardige code naar de browsers van bezoekers verspreidt.

Google Ads blokt getroffen websites

Niet alleen Cloudflare waarschuwt voor de malafide praktijken rondom de open-source JavaScript-library. Ook Google heeft inmiddels stappen genomen om websites die kwaadaardige code gebruiken te weren van Google Ads, zo bericht The Register. Dit moet het verkeer naar deze websites inperken en het aantal mogelijke slachtoffers verder beperken, blijkt uit een post op X naar aanleiding van de waarschuwing van de techgigant.

Overigens hebben de eigenaars van Polyfill.io de dienst opnieuw in de lucht gekregen nadat registrar Namecheap de boel dichtgooide, meldt BleepingComputer. Polyfill beweert dat het is belasterd en ontkent de aantijgingen dat het kwaadaardige code verspreidde.

