Polyfill.js 是一个流行的 JavaScript 库,它为不支持它的旧版浏览器提供了现代功能。Polyfill.js 的实现主要以脚本的形式附加到 HTML 标记中。这允许代码运行动态操作过程以在使用它的网站上执行 JS 代码。此库实现主要使用托管在*.polyfill.io或特别是cdn.polyfill.io上的脚本。
问题
不幸的是,polyfill.io域名本身已被一家名为 Funnull 的中国公司收购。据Sansec称,已确认该域名的脚本试图将恶意 JS 代码注入托管在该域名上的 Polyfill 库。此问题可能导致跨站点脚本 (XSS) 漏洞,恶意行为者可以执行 JS 代码来窃取用户的数据,在网站上执行不必要的操作,以及执行其他操作,例如将用户重定向到可疑网站。从Sansec的分析中可以看出,恶意代码试图将用户重定向到体育网站。