Polyfill.js 是个非常流行的第三方开源库，网站可以通过集成该开源库实现支持旧版浏览器

今年早些时候，网络安全公司Sansec警告称，Polyfill.io域名和服务被一家名为'Funnull'的中国公司收购，并在供应链攻击中修改了脚本，向网站引入恶意代码。Polyfill.io服务用于为不支持现代功能的旧浏览器添加JavaScript功能，广泛应用于数十万个网站

在收购后，Polyfill.io的脚本被修改，导致嵌入cdn.polyfill.io的任何网站都可能向用户设备注入恶意软件。Sansec发现，这些恶意代码主要用于将用户重定向到诈骗网站，如假冒的体育博彩网站。攻击者通过伪造的Google Analytics域名（如www.googie-anaiytics.com）或重定向链接（如kuurza.com/redirect?from=bitget）实现这一目的

该恶意脚本具有特定的保护机制，防止逆向工程，并且只在特定的移动设备和特定时间段激活。此外，它还会检测管理员用户和网络分析服务，以避免被发现。目前，cdn.polyfill.io域名已被神秘地重定向到Cloudflare的镜像，但域名的DNS服务器未变，攻击者随时可能重新切换回自己的域名

Polyfill 的原作者也在 X 平台上发布消息建议所有网站都不要使用 Polyfill.js，因为现代浏览器已经不需要这个老旧的脚本，他本人没有域名和项目的控制权，因此不能做任何事

对于仍需要 Polyfill 功能的用户，可以使用 Fastly 和 Cloudflare 提供的可靠替代方案

Google已开始通知广告商，警告他们的登陆页面可能包含恶意代码，导致用户被重定向到非预期网站。Google还指出，Bootcss、Bootcdn和Staticfile等第三方网络资源提供商也可能导致类似的重定向问题，进一步扩大了受影响的网站数量