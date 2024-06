ウェブブラウザのバージョン間の違いを無効化するJavaScriptライブラリ「Polyfill.io」が、2024年2月のプロジェクトオーナー変更後、マルウェアが混入されて サプライチェーン攻撃 に利用され、10万以上のサイトに影響が出ています。Polyfill supply chain attack hits 100K+ siteshttps://sansec.io/research/polyfill-supply-chain-attack

If your website uses https://t.co/3xHecLPXkB, remove it IMMEDIATELY.



I created the polyfill service project but I have never owned the domain name and I have had no influence over its sale. https://t.co/GYt3dhr5fI— Andrew Betts (@triblondon) February 25, 2024

No website today requires any of the polyfills in the https://t.co/3xHecLPXkB library. Most features added to the web platform are quickly adopted by all major browsers, with some exceptions that generally can't be polyfilled anyway, like Web Serial and Web Bluetooth.— Andrew Betts (@triblondon) February 25, 2024

「Polyfill.io(polyfill.js)」はアンドリュー・ベッツ氏が開発したJavaScriptライブラリです。ウェブブラウザのバージョン間で機能の違いがあると開発時に苦労しますが、Polyfill.ioを利用すれば、新しいバージョンにしかない機能を古いバージョンで利用できるようになるため、バージョンの違いを気にすることなく開発を進めることができます。ユーザーとしては世界経済フォーラムや学術誌などを収蔵している電子図書館のJSTOR、ビジネスソフトウェア開発で知られるintuitなどが知られていて、DataSignが2023年12月にウェブサービス15万781件を対象に行った「検出されたサービス TOP100」に、検出数776で97位にランクインしています。ただし、すでに開発者のベッツ氏はプロジェクトを離脱。メンテナーだったジェイク・チャンピオン氏がプロジェクトを引き継ぎましたが、毎秒1万リクエスト以上を処理するほどのサービスに成長するのは予想外だったとのことで、2024年2月、中国の方能(Funnull)という企業に売却されました。ベッツ氏はこの時点で、Polifill.ioの使用をやめるよう呼びかけています。状況の変化に気付いたユーザーが調べたところ、方能は「Polyfill.ioにバグがあったり不都合が生じても保証はしない」「使用条件に変更を加えても通知しない」などを表明していました。なお、このことを指摘するGitHubへの書き込みは削除されています。Is it true that polyfill.io hosting is going to be owned by a Chinese company? · Issue #2834 · polyfillpolyfill/polyfill-service · GitHubhttps://web.archive.org/web/20240229113710/https://github.com/polyfillpolyfill/polyfill-service/issues/2834セキュリティ企業のSanSecによると、オーナーが方能に変わったのち、cdn.polyfill.ioを埋め込んだサイトを介して、モバイル端末にマルウェアを感染させる試みが確認されているとのこと。Polyfill.ioを利用中のサイトは10万以上あるとみられます。なお、元開発者のベッツ氏によれば、「Web Serial」や「Web Bluetooth」のようにPolyfillで対応できない例外を除き、ウェブプラットフォームに採用されたほとんどの機能は主要なウェブブラウザにただちに採用されるため、「Polyfill.io」ライブラリを必要とするようなウェブサイトはないとのことです。ちなみに、Polyfill.ioを必要とする人のために、CloudFlareやFastlyが自前のフォークを用意しています。polyfill.io now available on cdnjs: reduce your supply chain riskhttps://blog.cloudflare.com/polyfill-io-now-available-on-cdnjs-reduce-your-supply-chain-riskNew options for Polyfill.io users - General - Fastly Communityhttps://community.fastly.com/t/new-options-for-polyfill-io-users/2540