中国研究员Ze-Zheng Wu发现名为data.polyfill.com的GitHub代码存储库,从存储库的名称来看,当中疑似含有Polyfill相关的数据。研究人员视图其中的内容指出,经营此存储库的人士曝露了许多机敏数据,并向MalwareHunterTeam表示,这家宣称是合法的中国公司,不仅买下了网域名称polyfill[.]io,并在GitHub上泄露他们Cloudflare的「ApiToken」及「ZoneId」两项信息。
资安新闻网站Bleeping Computer进一步透露细节,对方公开了环境变量文件(.ENV),从而曝露polyfill[.]io的Cloudflare API Token,以及区域ID,此外,他们还看到Algolia API密钥等相关数据,甚至是旧版的.ENV,从而找到这些人士早期使用的MySQL帐密数据。
另一名使用ID名称mdmck10的研究人员也针对这些数据进行调查,并指出对方采用非常严格的方式管制Token的用途,只能在特定的地理区域存取,研究人员通过其他区域尝试,结果都是回传403错误消息。
除此之外,这名研究员也表示,根据对方使用的Cloudflare帐号,总共有bootcdn[.]net、bootcss[.]com、polyfill[.]io、staticfile[.]net、staticfile[.]org与之相关。换言之,这些从事供应链攻击的黑客,至少使用了5个网域来进行有关攻击行动。
而针对这起供应链攻击发生的时间,澳洲资安鉴识员Nullify指出,很有可能可以追溯到去年6月。当时在中文论坛上,有专门讨论影响bootcss[.]com的早期版本注入代码,当中提及名为check_tiaozhuan的函数功能。
资安新闻网站Bleeping Computer指出,上述的函数功能代表注入的恶意代码,他们进一步确认此事,约在去年6月20日有多个中文论坛的开发人员进行相关讨论,试图破解BootCSS内含的异常代码,并指出这些代码经过混淆处理,而名为check_tiaozhuan的函数功能,则会检查浏览网站的用户是否使用行动设备,并将他们重新导向另一个网页。
最早针对此事提出警告的资安业者Sansec也公布新的发现,他们指出对方至少从2023年6月发动供应链攻击,借此散布恶意软件,当时这些黑客使用的网域,包括bootcdn[.]net、bootcss[.]com、staticfile[.]net、staticfile[.]org、unionadjs[.]com、xhsbpza[.]com、union.macoms[.]la、newcrbpc[.]com。



2024-07-02
