专门侦测电子商务恶意软件与安全漏洞的安全企业Sansec周二(6/25)警告,知名的Polyfill函数库polyfill.io自今年2月卖给了一家中国企业之后,开始嵌入恶意程序,以将访问使用其服务的网站用户重新引跳转至体育赌博或其他恶意网站,呼吁网站管理人员应该关闭Polyfill,或是改用其他较为可靠的服务。
Polyfill函数库的功能是在旧版浏览器中补充或模拟现代浏览器所支持的功能,因此,当旧版浏览器用户所访问的网站具备现代化浏览器所支持的新功能时,网站即可导入该函数库来实现相同的功能,让网页于旧版浏览器上能够正常运行。polyfill.io即为热门的Polyfill函数库之一,目前全球有超过10万个网站嵌入该函数库。
根据照片博客Notos共同创办人暨首席执行官Renaud Chaput今年2月的说明,polyfill.io原本隶属于金融时报(Financial Times)的网页团队,该团队之后将它移交给社交媒体管理,但最后的一名管理人员在今年2月将它卖给了中国一家奇怪的内容交付网络(CDN)公司,新公司将polyfill.io自Fastly平台搬离,并开始修改及胡弄返回用户端的文件。当时Chaput即建议各界不应该再推荐polyfill.io。
同样是在今年2月polyfill.io易主之后,Polyfill项目的作者Andrew Betts也警告各网站应立刻移除polyfill.io。Betts还澄清,虽然他创建了Polyfill服务,但从未拥有该域名名称,也从未参与它的销售。
Sansec则说,这家中国公司同时购买了polyfill.io及其GitHub账户,且不时有用户至其GitHub账户提出控诉,只是都被删除。
Sansec建议,不再需要Polyfill函数库的网站应该立刻移除polyfill.io,或是改用由Fastly或Cloudflare所提供的Polyfill方案。
