Polyfill.io 和 bootcdn 和 staticfile CDN 被 uBlockOrigin 屏蔽,因疑似被攻击者控制

98 天前
 mercury233

安全研究人员和开源情报 (OSINT) 爱好者发现与 polyfill.io 域相关联的 GitHub 存储库涉及大规模供应链攻击,目前据信已影响了数千万个网站。

https://github.com/uBlockOrigin/uAssets/pull/24285

https://www.bleepingcomputer.com/news/security/polyfillio-bootcdn-bootcss-staticfile-attack-traced-to-1-operator/

4185 次点击
所在节点    信息安全
13 条回复
BeijingBaby
98 天前
不是被攻击者控制,而是一种有意的投毒。
Shiroka
98 天前
看的出来 sri 很有必要

另外,之前 bootcdn 和 staticfile 的多数资源都被刻意设置了 max-age=0 或者 no-cache ,还有用户专门在 issues 里反映过,但没有修复,看来似乎就是为了投毒的快速应用和被发现后的快速撤回?
ho121
98 天前
这文章不是说 uBlockOrigin 被控制、投毒。而是说这些 cdn 被控制,然后 uBlockOrigin 把这些 cdn 屏蔽了
mercury233
98 天前
@ho121 #3 因为主语相同,我省略掉了,仔细看确实有些歧义
jellyX
98 天前
P1 issue, 昨天连忙切到了 cloudfare 的 CDN, 哈哈
Shiroka
98 天前
https://greasyfork.org/en/discussions/development/249443-polyfill-supply-chain-attack-bootcdn-and-staticfile

greasyfork 也删除了 allowed CDNs 中的 bootcdn 、staticfile 和 polyfill.io
x86
98 天前
刚碰到了,我说一个页面插件咋打不开了,一看 console 是 bootcdn 的给拦截了
1423
98 天前
https://x.com/mdmck10/status/1806350487635083517
这个应该是源头, 也是对 bootcdn 屏蔽的依据
简单讲大概是 staticfile.netbootcdn.netbootcss.compolyfill.io 都是 cloudflare 同一个账户下面管理的, 所以合理推断全部有罪
Shiroka
98 天前
@1423 这推断没问题,而且 BootCDN 在此之前就有投毒行为,最早在去年 6 月,比如

https://v2ex.com/t/950163

https://www.cnblogs.com/ADSZ/p/17465009.html

再往前翻,BootCDN 也时有崩溃的问题,一句话就是不推荐再用,cdnjs.cloudflare.com 保平安
Shiroka
98 天前
BootCDN 在去年约 5 月份被收购,6 月份就有投毒; polyfill.io 今年 2 月被收购,6 月被发现投毒,是收购方刻意为之吧

https://imotao.com/7373.html

https://x.com/triblondon/status/1761852117579427975
cnt2ex
97 天前
https://sansec.io/research/polyfill-supply-chain-attack

这次事件应该是故意的。
yuzo555
86 天前
BootCDN 我一点都不意外
Staticfile 不是七牛的人在管理吗,域名都是七牛备案的,这也被收购了?
alswl
23 天前
@yuzo555 同困惑,对七牛还是一直有信任的。

这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。

https://www.v2ex.com/t/1053497

V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.

© 2021 V2EX