2024年上半年,全球前端开发圈爆发了一场罕见的大规模供应链安全事件。原本由英国金融科技公司维护、为旧版浏览器提供补丁的 Polyfill.io,在被域名收购后陷入安全危机。黑客正通过它传播恶意代码,初步估计影响超10万家网站。
Funnull涉入:暗藏黑产链条
据网络安全追踪分析,有关 Polyfill.io 的 CDN 与 GitHub 仓库在 2024年2月 被一家名为 Funnull Technology Inc. 的公司收购,而非原先维护者。据反映研究文章指出,这家收购方背景可疑──缺乏业界信誉记录,且官网声称在美国运营,却以中文内容为主,真实身份扑朔迷离。
实控背景:菲律宾注册,业务链条广
深入调查显示,Funnull HQ 注册于菲律宾塔吉格市,注册名为 Funnull Technology Inc.(亦称 Fang Neng CDN,“方能CDN”)。2021年成立,业务实则包括:
- 批量购买全球云服务 IP 地址
- 出租或出售给操控“杀猪盘”虚拟货币诈骗网站及其他恶意网络项目
- 使用域名生成算法(DGA)批量派发域名,并提供诈骗、赌博网站模板设计支持
美国财政部 OFAC 已于 2025年5月29日 制裁该公司与其主要负责人 刘立志(中国籍),指控其网络诈骗涉案金额累计超2亿美元。
骇客利用Polyfill.io展开攻击
安全研究机构 Reflectiz 与 Silent Push 援引日志和恶意代码指出:在 Polyfill.io 提供的“标准补丁”(features=default)中嵌入检测脚本,一旦判断访问者使用手机设备,即通过伪装为 Googie-Analytics 的脚本跳转至博彩、诈骗网站。
Cloudflare 曾多次要求 Funnull 停用不当内容,但对方对其 CDN 使用 Cloudflare 的 logo 予以否认,并未配合清理。
业内反应与修复建议
- Cloudflare、Snyk、Semgrep等纷纷紧急通报事件,建议全球开发者移除对 polyfill.io 的所有引用,改用 cdnjs.cloudflare.com/polyfill/v3/polyfill.min.js 或 Fastly 镜像 。
- GitHub 上已有众多知名开源项目开始清除该服务的相关依赖。
- 专家建议:全面强化供应链安全意识,所有第三方引入均需配合 SRI 校验签名和 CSP 限制策略。
📌 事件要点回顾
| 事件 | 时间 | 详情 |
|---|---|---|
| Polyfill.io 域名收购 | 2024年2月 | 被 Funnull 接管,幕后性质不明 |
| 恶意代码植入 | 近期 | 通过篡改补丁文件进行跳转推广诈骗/博彩站点 |
| 美国制裁行动 | 2025年5月29日 | 制裁 Funnull 及其负责人,冻结美资产 |
| 损失金额 | — | 约2亿美元,对全球用户产生经济与信任冲击 |
专家语
“Funnull 表面是 CDN 服务商,实际上参与杀猪盘基础设施运营,其对 Polyfill.io 的收购极可能并非无心之举。”——网络安全专家 张磊(化名)
“这起事件再次提醒我们…‘一条外链能有多危险?’答案是,它可能决定数十万受信任网站的命运。”——知名前端人士 王伟(化名)
🔐 向开发者的建议
- 立刻检查所有代码库中是否引用
polyfill.io,并迅速将其移除。 - 替换为 cdnjs.cloudflare.com 或 Fastly 提供的安全镜像。
- 为每个外链资源配置 SRI 校验与 CSP 限制,构建多重防御体系。
- 定期审计依赖库来源,谨防潜在“买壳”供应链攻击风险。
本次 Polyfill.io 事件揭示:在前端开发中,即使是“最简单”的外部补丁,也可能成为攻击跳板。未来应从流程设计、依赖管理、组织协作层面全面加强供应链安全护网。
※新西兰全搜索©️版权所有
敬请关注新西兰全搜索New Zealand Review 在各大社交媒体平台的公众号。从这里读懂新西兰!️
欢迎阅读新西兰全搜索中国新闻,我们为您带来最新的中国新闻,让您时刻紧跟中国的动态与发展。
了解 新西兰全搜索🔍 的更多信息
订阅后即可通过电子邮件收到最新文章。
