知名静态资源 JS 加速服务 Staticfile(与七牛云合作)发生供应链投毒,请尽快更换。

浏览: 337 次浏览 作者: 去年夏天 分类: 资讯 发布时间: 2024-07-06 11:57

起因

一大早收到安全软件提醒邮件,说站点页面有疑恶意软件URL

我一看URL,这不是twikoo嘛,知名开源评论系统,居然出事了?

果断去看下JS具体写了什么,当我访问时,Ublock又给我这个提示

啊,这…被包含于:Badware risks ???所以不是 twikoo 出事了,而是用来引入 twikoo JS 的 CDN 服务 Staticfile 出事了?

于是去 VirusTotal 检测了一下 Staticfile 的两个域名 .org和.net

啊,这….8个报风险,这个…于是去Ublock看下下Issues 和 Pull requests

事件具体情况

  1. 年初某中国公司购买了 Polyfill.io 域名与 github 账户。
  2. Polyfill.io 被发现发生供应链投毒,通过 cdn.Polyfill.io 引入的 JS 会被附加恶意代码。
  3. 攻击者最近不小心泄露了自己的他们的 Cloudflare 密钥,被发现他同时控制了,Polyfill.io,BootCDN、Bootcss、Staticfile 4家知名静态文件CDN。。
  4. 谷歌在6月中旬开始给广告投放站点发邮件,警告管理员需要排除这4家供应商,以免出现恶意跳转影响广告投放。
  5. 啥概念,Polyfill.io 大概全球有4%的网站在用…七牛云的Staticfile在国内也是被大量开源项目所使用的。
  6. 很多站长其实没意识到自己引入了风险代码,因为这可能是被自己添加的某些比如“返回顶部按钮”,“头图轮播”,“标签云”,等功能,那几行从网上复制来的开源代码里,涉及到了这些JS CDN。

恶意代码会做什么

如果使用了上述4家的CDN服务,那么返回JS代码,在特定条件下会被额外加入一段混淆后的JS代码。
该代码会在特定时间在特定移动设备上,将用户跳转到风险网站,比如赌球博彩网站(最近不是欧洲杯嘛)代码会检测运行环境,如果发现有anaiytics分析代码,比如谷歌分析,百度站长,matomo,Umami,恶意代码会延迟跳转,以免被在统计数据中看出端倪,如果发现是管理员,则完全不会运行。如果发现是电脑也不会跳转,如果发现启动了分析工具也不会跳转。

我该怎么办

清理自己网站上涉及 Polyfill.io,BootCDN、Bootcss、Staticfile的代码,换成安全的 CDN 比如Cloudflare和JSDELIVR

碎碎谈

  • 这次黑产的布局很大,这一次应该全球10%的网站被控制,其中静态博客是重灾区,因为静态博客几乎一切特色功能都需要JS来实现,而国内访问速度快的无限制的JS加速服务,也就这么几家。
  • 很多人分不清 JS CDN 和 CDN 的区别。
  • 避开了PC端,因为PC是可以在浏览器看到URL的
  • 避开开发者工具,分析工具,恶意代码在发现你打开控制台,开发者工具时时不会跳转的。
  • 避开登录管理员,发现是管理员不会跳转
  • 发现存在统计的代码,则会做延迟性跳转,防止站长在统计里看出端倪。
  • 代码混淆写的相当好,去年安全论坛里就有人发了混淆后的代码,大家一致认为很难分析。

参考文章
github:cdn.staticfile.org blocked wrongly #24292
Polyfill.io JavaScript supply chain attack impacts over 100K sites
Polyfill.io, BootCDN, Bootcss, Staticfile attack traced to 1 operator

11 条评论
  • 天天下载ttzip

    2024-07-19 00:18

    感谢分享,谢谢站长!!

  • 老张博客

    2024-07-15 15:53

    Cloudflare还是比较好用 的。

  • 奶爸

    2024-07-15 14:39

    不知道字节的有没有波及

    1. 去年夏天

      2024-07-15 14:46

      没有,这4家都是公益性质的,黑产大都是走:先伪装热心维护者、赞助者,骗取原有维护者信任,然后在公益项目遇到资金困难时“好心接盘”。

  • klcdm

    2024-07-11 03:22

    跑本地的应该没事

  • klcdm

    2024-07-11 03:22

    应该不管我什么事哈哈,不过这真的挺那啥的
    我基本上资源跑本地

    1. 去年夏天

      2024-07-11 16:36

      静态博客是重灾区,国内能用的免费的、速度还不错、无限制的JS CDN也就这么两家Staticfile和BootCDN。结果全被黑产买走了

      1. klcdm

        2024-07-11 16:44

        我用的我自己自建的,无论是cdn还是静态资源加速,哈哈
        不过仁兄用的什么安全检查,我也怕入侵

        1. 去年夏天

          2024-07-11 17:26

          用的 Wordfence 插件。这玩意的扫描我感觉更大程度上是在防止我自己写出有 bug 的代码。:joy:

  • 石樱灯笼

    2024-07-06 14:17

    我就说为什么我的ublock经常无缘无故弹出拦截个不是我点开的窗口。

    1. 去年夏天

      2024-07-06 18:00

      中招的网站挺多……最近在开往和虫洞时不时会看到 js 或 css 被拦截导致 页面错位,侧栏组件失踪,文章失踪的个站。网上说的全球有不少于 10% 的站点被波及还真有可能。

发表回复

您的电子邮箱地址不会被公开。 必填项已用 * 标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据