JavaScriptのライブラリ「Polyfill.io」にマルウェアが混入していたとニュースがあった。
Polyfill.jsは古いWebブラウザをサポートするためのオープンソースライブラリで、古いPCで稼働している自治体とかは対応が必要そうな気がする。
幸いにも私が関わってるものにはPolyfill.ioは使用していなかった。
マルウェアが混入した原因は、中国企業が「cdn.polyfill.io」ドメインと「GitHub」アカウントを購入した後、このライブラリを埋め込むサイトを介してモバイルデバイスにマルウェアを注入していることが判明したらしい。怖い。
特に個人で納品している案件は、使っていることに気づきにくいので、適宜ITに関する情報収集や、セキュリティサイトに目を通すべきだなと改めて感じた。
リソースはセキュリティ企業Sansecから。
Sansec
Polyfill supply chain attack hits 100K+ sites
The new Chinese owner of the popular Polyfill JS project injects malware into more than 100 thousand sites.
