Webs advierten dejar de usar servicio Polyfill tras ser hackeado por hackers chinos para distribuir malware.

Los administradores de sitios web están siendo instados a eliminar inmediatamente el servicio Polyfill.io después de que se descubriera que estaba sirviendo malware a los visitantes del sitio. Un polyfill es un fragmento de código (normalmente JavaScript) utilizado para proporcionar funcionalidades modernas en navegadores antiguos que no las admiten de forma nativa. El término se origina en la idea de "rellenar" los vacíos en el conjunto de funciones de un navegador, permitiendo a los desarrolladores utilizar estándares web modernos y APIs sin preocuparse por problemas de compatibilidad. Los polyfills permiten a los desarrolladores escribir código utilizando los estándares más recientes mientras se aseguran de que siga funcionando en entornos antiguos.

El servicio Polyfill.io es bastante popular, con más de 100,000 sitios usándolo en la actualidad, y fue vendido en febrero de 2024 a una empresa china. En aquel entonces, los propietarios originales del proyecto advirtieron a sus usuarios que eliminaran la herramienta de inmediato, ya que ahora eran susceptibles a un ataque de la cadena de suministro. Tanto Cloudflare como Fastly crearon sus propias versiones del servicio Polyfill.io, brindando a los usuarios un servicio de confianza.

"No hay ningún sitio web hoy que requiera alguno de los polyfills en la biblioteca http://polyfill.io", tuiteó el desarrollador original del proyecto de servicio de Polyfills. "La mayoría de las funcionalidades añadidas a la plataforma web son adoptadas rápidamente por todos los principales navegadores, con algunas excepciones que generalmente no pueden ser polyfilled de todos modos, como Web Serial y Web Bluetooth".

Avanzando unos meses, los expertos en ciberseguridad de Sansec advierten que el polyfill estaba sirviendo malware. "En febrero de este año, una empresa china compró el dominio y la cuenta de Github. Desde entonces, este dominio fue atrapado inyectando malware en dispositivos móviles a través de cualquier sitio que incrustara cdn.polyfill.io", dijo Sansec. Google también se sumó, notificando a los anunciantes afectados sobre la posibilidad de que sus páginas de destino redirijan a los visitantes a sitios web posiblemente maliciosos.

"El código que causa estas redirecciones parece provenir de algunos proveedores de recursos web de terceros diferentes, incluidos Polyfill.io, Bootcss.com, Bootcdn.net o Staticfile.org", citó BleepingComputer en un correo electrónico de Google.