Polyfill.js e Malware em Código Aberto: O que Você Precisa Saber

Yuri Corredor

No mundo do desenvolvimento, bibliotecas de código aberto desempenham um papel crucial na criação de aplicativos. No entanto, essas bibliotecas também podem representar riscos significativos se não forem gerenciadas corretamente. Um exemplo recente é o caso da biblioteca polyfill.js, que sofreu um ataque de cadeia de suprimentos, afetando milhares de sites ao redor do mundo.

Conteúdo

O que aconteceu com a biblioteca polyfill.js?

Polyfill.js é uma biblioteca popular que permite que navegadores mais antigos suportem funcionalidades modernas. Em fevereiro de 2024, uma empresa comprou o domínio cdn[.]polyfill[.]io e a conta do GitHub associada. Desde então, a empresa modificou a biblioteca para inserir código malicioso nos sites que utilizavam scripts do CDN. Como resultado, usuários foram redirecionados para sites de aposta, e ficaram expostos a possíveis execuções de código malicioso.

Impacto e medidas de mitigação

O ataque foi descoberto e divulgado pela equipe de segurança da Sansec em 25 de junho de 2024. Estima-se que mais de 100.000 sites foram impactados, incluindo grandes empresas como a Intuit.

O criador original do polyfill.js e várias plataformas de segurança, como a Google, emitiram alertas para remover qualquer referência ao CDN. Alternativas seguras são recomendadas e foram disponibilizadas pelo Cloudflare e Fastly.

Recomendações para desenvolvedores sobre o polyfill.js

Diante do ocorrido, é fundamental que os(as) desenvolvedores(as) tomem medidas para manter a segurança dos seus sistemas. Confira abaixo as principais recomendações:

  • Remova o Polyfill.js: Se o seu site utiliza polyfill.js do cdn[.]polyfill[.]io, remova imediatamente qualquer referência a ele. A biblioteca não é mais necessária para a maioria dos navegadores modernos.
  • Use CDNs Confiáveis: Opte por CDNs conhecidos e respeitáveis como Cloudflare e Fastly.
  • Implemente SRI: Utilize a Subresource Integrity (SRI) para garantir que scripts carregados não foram adulterados.
  • Adote CSP: Aplique uma política de segurança de conteúdo (Content Security Policy) para restringir as fontes de scripts que podem ser carregados em seu site.
  • Monitore Dependências: Realize auditorias regulares em todas as dependências de terceiros e mantenha-as atualizadas.

Experiência e ação da Focus NFe sobre a biblioteca polyfill.js

Seguindo nossas políticas de transparência com os nossos clientes, informamos que o nosso painel do cliente incluía o polyfill.js e, portanto, estava vulnerável a este ataque. Felizmente, nenhum dos nossos clientes foi comprometido. Tomamos todas as medidas necessárias para remover a biblioteca comprometida.

O incidente com o polyfill.js serve como um lembrete importante sobre a necessidade de vigilância constante na segurança de bibliotecas de código aberto e na escolha cuidadosa de CDNs. Manter-se informado sobre vulnerabilidades e seguir as melhores práticas de segurança é essencial para proteger seus projetos e os dados dos usuários.

Simplifique sua gestão de documentos fiscais com a Focus NFe

Somos um ecossistema de soluções para a emissão e gestão de documentos fiscais. Nossos recursos permitem que empresas dos mais diversos portes e segmentos ganhem mais tempo para focar no que importa.

Sua empresa possui desenvolvedores, sistema interno e quer otimizar a emissão de notas? Conheça nosso conjunto de APIs para emissão de documentos fiscais!

Converse já com a nossa equipe!

Picture of Yuri Corredor

Yuri Corredor

Inscreva-se em nossa newsletter​

Receba nossos conteúdos exclusivos em primeira mão.

Explore outros conteúdos:

Entenda o que é SaaS, como utilizar e como calcular as métricas SaaS para avaliar sua empresa e analisar os resultados de forma efetiva.
SaaS
Ricardo Acras

Métricas SaaS: como calcular e avaliar seu negócio?

As métricas SaaS são fundamentais para a análise de dados que contribuem tanto com a otimização de serviços, como para uma boa gestão de negócios.

Afinal, esse mercado exige constante evolução e validação. Seja para manter seu produto vivo e superar concorrentes, como para manter clientes engajados e as assinaturas ativas.

Manter os indicadores de desempenho (KPIs) aprimorados e conectados com a real situação do SaaS, possibilita correções e atualizações constantes do produto, norteando as atividades de melhoria contínua do software.

Pensando nisso, no artigo de hoje separamos as principais métricas a serem analisadas para que gestores e times permaneçam atentos tanto às demandas do público quanto da organização. Confira!

Leia mais »
Saiba como consultar as notas fiscais emitidas para seu CNPJ pela Sefaz e descubra uma forma ainda mais simples de consultá-las!
Documentos fiscais
Douglas Pinheiro

Como consultar as notas fiscais emitidas para meu CNPJ?

Uma das perguntas mais comuns entre donos de empresas é como fazer consulta de nota fiscal para seu CNPJ. Isso porque essa averiguação é essencial para garantir a segurança do negócio.

Afinal, a consulta de nota fiscal é importante para manter o SPED Fiscal em dia, proteger a organização contra fraudes, acompanhar as transações, avaliar fornecedores, entre outras atividades importantes.

Especificamente sobre a segurança e as fraudes, empresários têm a consciência que estão sujeitos a sofrer esse tipo de situação, sobretudo em relação à emissão de notas fiscais falsas, também conhecidas como notas frias, basicamente, documentos ilegais que alguém emite para seu CNPJ sem que você, de fato, tenha efetuado determinada operação.

Por isso, o tema de consulta de notas fiscais emitidas em relação ao CNPJ é de suma importância. No artigo a seguir, trazemos as principais questões a respeito do assunto, como a emissão e a consulta a notas emitidas contra o seu CNPJ.

Leia mais »
Armazenamento na nuvem é seguro?
SaaS
Ricardo Acras

Precificação SaaS: saiba o que é, modelos e como fazer

A precificação SaaS é um desafio que vai além das estratégias tradicionais. Nesse modelo de negócio, o preço não depende apenas de custos operacionais, mas também de fatores como o valor percebido pelo cliente e a competitividade no mercado.

A forma como o preço de um produto ou serviço é calculado afeta uma empresa em inúmeros aspectos, já que impacta diretamente seu faturamento.

Neste artigo, vamos falar sobre os principais modelos de precificação SaaS e como evitar erros comuns na hora de escolher a melhor abordagem para o seu negócio.

Leia mais »