Cloudflareは6月27日(現地時間)、polyfill.ioのリンクをCloudflareのミラーへ自動的に置き換える処理を始めたことを発表しました。
polyfill.ioはポピュラーなJavaScriptライブラリサービスで多くのWebサイトで利用されていました、しかし、2024年2月にpolyfill.ioの所有者が変更となり、6月25日には、polyfill.ioがブラウザに悪意のあるJavaScriptコードを注入するために使用されていたことが確認されています。
Cloudflareはこの対策として、Cloudflareを利用して配信されているWebページに含まれるpolyfill.ioへのリンクを、cdnjsの下にあるミラーリンクに書き換る処理を開始します。サプライチェーン攻撃のリスクを軽減しながら、サイト機能の破壊を回避することができる処理だと説明されています。
Cloudflareの無料プランを利用しているWebサイトは、現在この機能が自動的に有効になっており、有料プランのWebサイトも、ワンクリックでこの機能を有効にすることができます。
Cloudflareを使用していない場合は、polyfill.ioの利用を停止するか、あるいは別のソリューションを見つけることが強く推奨されています。自動置換機能はほとんどのケースに対応するものの、プロジェクトからpolyfill.ioを削除し、Cloudflareのような安全な代替ミラーに置き換えることがベストだとのことです。
ソフトウェアの所有者や開発者がいつの間にか入れ替わる事例は、最近あったxzやBartenderの件を彷彿とさせます。なかには実害が発生する場合もあり、厳重な注意が必要だといえそうです。
