Avertisment DNSC. Un domeniu cumpărat de o companie chineză este folosit pentru a infecta site-uri. Utilizatori vizați

Directoratul Naţional de Securitate Cibernetică (DNSC) atenționează că un domeniul este folosit pentru a infecta peste 100.000 de site-uri web cu cod malițios.

Situația a fost semnalată în cazul polyfill.io, după ce acesta a fost achiziționat de către o organizație chineză la începutul anului 2024.

Site-ul oferă polyfills – segmente de cod JavaScript care adaugă funcționalitați browserelor web mai vechi, potrivit DNSC.

Acest domeniu a fost identificat ca injectând cod malițios JavaScript pe dispozitivele mobile, prin intermediul oricărui site web care încorporează elemente de tip Content Delivery Network (CDN) din sursa cdn.polyfill.io. Redirecționează astfel utilizatorii către alte pagini de internet ce pot conține malware.

Există riscul ca orice utilizator care vizitează un site web legitim, dar care include cod din sursa cdn.polyfill.io, să fie expus codului malițios provenind din această sursă.

Avertisment DNSC. Indicatori de compromitere (IOCs)

La nivelul DNSC sunt în proces de validare o serie suplimentară de IOCs ce vor fi publicați curând. Indicatorii de compromitere identificați până la acest moment sunt:

• https://kuurza.com/redirect?from=bitget
• https://www.googie-anaiytics.com/html/checkcachehw.js
• https://www.googie-anaiytics.com/ga.js
• https://cdn.bootcss.com/highlight.js/9.7.0/highlight.min.js
• https://union.macoms.la/jquery.min-4.0.2.js
• https://newcrbpc.com/redirect?from=bscbc
• bootcdn.net
• bootcss.com
• newcrbpc.com
• staticfile.net
• staticfile.org
• unionadjs.com
• union.macoms.la
• xhsbpza.com

Directoratul recomandă cu fermitate tuturor organizațiilor ale căror site-uri web utilizează orice cod JavaScript provenind din domeniul polyfill.io să ia masurile necesare pentru a-l elimina sau înlocui imediat.