资安业者Sansec于6月底警告polyfill[.]io供应链攻击事故引起各界高度关注，使用此浏览器兼容性程序库的网站，会导致使用者被导向赌博网站或是恶意网站。事隔数日，经营者声称通过polyfill[.]com继续提供服务，但究竟有多少网站受到影响？有研究人员提出新的调查结果。

上周资安业者Censys表示，截至7月2日，他们总共侦测到384,773台网页服务器，会在HTTP回应当中，含有https://cdn.polyfill[.]io或https://cdn.polyfill[.]com。这些服务器大部分位于德国，约有23.7万台位于Hetzner主机代管业者的环境（AS24940）。

他们对于受害主机进一步调查，华纳兄弟、Hulu、奔驰等大型企业也名列其中，值得留意的是，最常见的主机名称是ns-static-assets.s3.amazonaws.com，这代表有不少受害网站是采用AWS S3静态主机代管服务。

此外，美国联邦机构也有不少受害单位，研究人员总共看到182个.gov网域的主机受害。

上述的情况，比起Sansec初步估计至少10万个网站，规模超出3倍。值得留意的是，Censys也发现也有部分网站使用wildcard.polyfill.io.bsclink[.]cn、cdn.polyfill.io.bsclink[.]cn、5f52353c.u.fn03[.]vip取代polyfill[.]io，其中仅wildcard.polyfill.io.bsclink[.]cn仍在运作，经调查与名为Legend Dynasty的新加坡公司有关，该公司隶属中国CDN业者北京蓝汛通信（Edgenext），究竟是否与经营polyfill[.]io的方能（FunFull）有所关连？研究人员表示有待进一步调查。

而对于有研究人员针对Google向广告业者提出的警告，循线指出黑客也同时经营bootcdn[.]net、bootcss[.]com、staticfile[.]net、staticfile[.]org，Censys根据中国网站开发人员去年6月在论坛讨论的内容进行比对，证实对方在bootcdn[.]net实作的恶意脚本，与polyfill[.]io一致。

若是包含这些恶意CDN服务在内，受害范围将扩及1,637,160台主机，这样的情形，相较于资安研究团队MalwareHunterTeam估计的30万至35万台，约为5倍以上的规模。