FEHLER!

Supply-Chain-Attacke trifft Websites mit Polyfill.io

Es scheint, als hätte der Schurkenkrieger der Cyberwelt wieder zugeschlagen! Dieses Mal hat er es auf Websites abgesehen, die das Content Delivery Network (CDN) cdn.polyfill.io nutzen. Aber was ist Polyfill überhaupt? Na, das ist so etwas wie der Superheld unter den Webentwicklern. Dieses Tool ermöglicht es, Inhalte auf älteren Browsern auszuführen, die die neuesten Funktionen nicht unterstützen. Polyfills sind so etwas wie das Einhorn der Webentwicklung – sie füllen die Lücken und stellen sicher, dass alles reibungslos läuft.

Leider hat sich der Schurkenkrieger gedacht: „Hey, warum nicht das gute alte Polyfill.io für meine bösen Pläne ausnutzen?“ Und so hat er eine Supply-Chain-Attacke gestartet, bei der mehr als 100.000 Websites weltweit betroffen sind. Das bedeutet, dass viele Websites plötzlich Schadcode verteilen, anstatt uns mit lustigen Katzenvideos zu versorgen. Na toll.

Aber keine Sorge, liebe Webentwickler und Website-Besitzer, es gibt bereits Alternativen zu Polyfill.io. Sowohl Fastly als auch Cloudflare bieten seit Februar alternative CDNs an. Das ist ein bisschen wie die Entscheidung zwischen Nutella und Marmelade – jeder hat seine Vorlieben. Aber laut dem Readme des GitHub-Projekts scheint das Projekt offiziell das CDN von Cloudflare zu verwenden. Ach, wer kann da noch durchblicken?

Es wird noch kurioser: Die Website Polyfill.io wurde von dem chinesischen Unternehmen Funnull aufgekauft. Ja, richtig gelesen, Funnull. Klingt ein bisschen nach einem missglückten Zaubertrick. Jedenfalls hat Andrew Betts, der Betreiber des Polyfill-Projekts und Mitarbeiter bei Fastly, schon im Februar Alarm geschlagen und alle aufgefordert, sich von polyfill.io zu distanzieren. Das ist wie ein Held, der uns vor einem Schurken warnt, der noch nicht einmal in der Stadt ist. Vorfreude ist ja bekanntlich die schönste Freude.

Aber genug von den Hintergrundinfos – was ist denn nun mit dem Schadcode los? Laut dem Blog des JavaScript-Security-Anbieters c/side verteilt cdn.polyfill.io aktiv schädlichen Code. Der Schurkenkrieger hat anscheinend die HTTP-Header manipuliert, um den Code nur auf bestimmten mobilen Geräten zu aktivieren. Das ist wie ein Schurke mit einer unsichtbaren Tarnkappe – man sieht ihn nicht, aber er ist da und richtet Schaden an.

Aber halt, es gibt noch mehr! Der Anbieter für Sicherheitsscanner, Sansec, hat ebenfalls vor der Supply-Chain-Attacke mit Polyfills gewarnt. Sogar Google blockiert bereits Google-Ads von Websites, die Polyfill.io verwenden. Das ist so, als würde man den Schurken in einen Käfig sperren, bevor er überhaupt eine Chance hat, seine bösen Pläne umzusetzen.

Nun, liebe Webentwickler und Website-Besitzer, es ist höchste Zeit, eure Abhängigkeiten von polyfill.io zu entfernen. Der Schurkenkrieger mag zwar gewitzt sein, aber wir sind schlau genug, um ihm ein Schnippchen zu schlagen. Also, auf geht’s, lasst uns unsere Websites von diesem Schurken befreien und die Welt wieder mit lustigen Katzenvideos füllen!

Schlagwörter: Fastly + CDN + cdn.polyfill.io

Wie bewerten Sie den Schreibstil des Artikels?
1 Star2 Stars3 Stars4 Stars5 Stars
  • 26. Juni 2024