O que aconteceu com a biblioteca polyfill.js?
Polyfill.js é uma biblioteca popular que permite que navegadores mais antigos suportem funcionalidades modernas. Em fevereiro de 2024, uma empresa comprou o domínio cdn[.]polyfill[.]io e a conta do GitHub associada. Desde então, a empresa modificou a biblioteca para inserir código malicioso nos sites que utilizavam scripts do CDN. Como resultado, usuários foram redirecionados para sites de aposta, e ficaram expostos a possíveis execuções de código malicioso.
Impacto e medidas de mitigação
O ataque foi descoberto e divulgado pela equipe de segurança da Sansec em 25 de junho de 2024. Estima-se que mais de 100.000 sites foram impactados, incluindo grandes empresas como a Intuit.
O criador original do polyfill.js e várias plataformas de segurança, como a Google, emitiram alertas para remover qualquer referência ao CDN. Alternativas seguras são recomendadas e foram disponibilizadas pelo Cloudflare e Fastly.
Recomendações para desenvolvedores sobre o polyfill.js
Diante do ocorrido, é fundamental que os(as) desenvolvedores(as) tomem medidas para manter a segurança dos seus sistemas. Confira abaixo as principais recomendações:
- Remova o Polyfill.js: Se o seu site utiliza polyfill.js do cdn[.]polyfill[.]io, remova imediatamente qualquer referência a ele. A biblioteca não é mais necessária para a maioria dos navegadores modernos.
- Use CDNs Confiáveis: Opte por CDNs conhecidos e respeitáveis como Cloudflare e Fastly.
- Implemente SRI: Utilize a Subresource Integrity (SRI) para garantir que scripts carregados não foram adulterados.
- Adote CSP: Aplique uma política de segurança de conteúdo (Content Security Policy) para restringir as fontes de scripts que podem ser carregados em seu site.
- Monitore Dependências: Realize auditorias regulares em todas as dependências de terceiros e mantenha-as atualizadas.
Experiência e ação da Focus NFe sobre a biblioteca polyfill.js
Seguindo nossas políticas de transparência com os nossos clientes, informamos que o nosso painel do cliente incluía o polyfill.js e, portanto, estava vulnerável a este ataque. Felizmente, nenhum dos nossos clientes foi comprometido. Tomamos todas as medidas necessárias para remover a biblioteca comprometida.
O incidente com o polyfill.js serve como um lembrete importante sobre a necessidade de vigilância constante na segurança de bibliotecas de código aberto e na escolha cuidadosa de CDNs. Manter-se informado sobre vulnerabilidades e seguir as melhores práticas de segurança é essencial para proteger seus projetos e os dados dos usuários.
Simplifique sua gestão de documentos fiscais com a Focus NFe
Somos um ecossistema de soluções para a emissão e gestão de documentos fiscais. Nossos recursos permitem que empresas dos mais diversos portes e segmentos ganhem mais tempo para focar no que importa.
Sua empresa possui desenvolvedores, sistema interno e quer otimizar a emissão de notas? Conheça nosso conjunto de APIs para emissão de documentos fiscais!
