Bezpečnostní expert Michal Špaček varuje před použitím javascriptové knihovny polyfill z domény polyfill.io
. Doména změnila majitele a namísto javascriptové knihovny z ní šíří škodlivý kód.
Google doporučuje vyhnout se i dalším napadeným doménám: bootcss.com
, bootcdn.net
, staticfile.org
.
Michal Špaček upozorňuje, že knihovna je využívána pro útok typu supply chain attack, která k napadení informačního systému využívá zdrojový kód stahovaný z důvěryhodných zdrojů třetích stran.
Autor původní knihovny Andrew Betts připomíná, že knihovna je nyní již nepotřebná, protože jejím smyslem je nahrazovat chybějící podporu technologií v prohlížečích. V současné době používaných prohlížečích je ale už podpora všech technologií, které knihovna doplňuje, už dostatečná a odstraněním knihovny ze zdrojového kódu nedojde k technickým omezením. Andrew také upozorňuje, že doménu nikdy nevlastnil a nemá vliv na její fungování.
Pokud opravdu knihovnu potřebujete, stáhněte kopii na vlastní web nebo použijte důvěryhodný hosting.
(Obrázek z upotávky: Galen Crout z Unsplash)