ウェブブラウザのバージョン間の違いを無効化するJavaScriptライブラリ「Polyfill.io」が、2024年2月のプロジェクト
オーナー変更後、マルウェアが混入されてサプライチェーン攻撃に利用され、10万以上のサイトに影響が出ています。
「Polyfill.io(polyfill.js)」はアンドリュー・ベッツ氏が開発したJavaScriptライブラリです。ウェブブラウザのバージョン間で
機能の違いがあると開発時に苦労しますが、Polyfill.ioを利用すれば、新しいバージョンにしかない機能を古いバージョンで
利用できるようになるため、バージョンの違いを気にすることなく開発を進めることができます。
ユーザーとしては世界経済フォーラムや学術誌などを収蔵している電子図書館のJSTOR、ビジネスソフトウェア開発で
知られるintuitなどが知られていて、DataSignが2023年12月にウェブサービス15万781件を対象に行った「検出された
サービス TOP100」に、検出数776で97位にランクインしています。
ただし、すでに開発者のベッツ氏はプロジェクトを離脱。メンテナーだったジェイク・チャンピオン氏がプロジェクト
を引き継ぎましたが、毎秒1万リクエスト以上を処理するほどのサービスに成長するのは予想外だったとのことで、
2024年2月、中国の方能(Funnull)という企業に売却されました。(以下略)
ギガジン 6月26日
https://gigazine.net/news/20240626-polyfill-supply-chain-attack/
◆ニュー速+ 記事情報提供スレ 148◆より
---------------------------------
!jien =お知らせ=
おーぷん2ちゃんねる、ニュー速+ http://uni.open2ch.net/newsplus/
【アク禁依頼・解除】は「政経雑談スレ」に連絡を入れて下さい。
#侮蔑語 ・煽り・#スレと関係ないレスバトル ・レッテル貼り連呼
・下品な発言・不快なaa・#会話不能 などが、アク禁対象です。
アク禁依頼・解除はレス番で!!(理由も添えてくださいませ)
---------------------------------
引用元: ・【JavaScriptライブラリ「Polyfill.io」にマルウェアが混入】10万以上のサイトに影響[R6/6/27]
コメント