無印良品、東芝等多家網站傳出可疑的Polyfill登入提示

Polyfill是前端網頁開發中用來填補瀏覽器功能缺失的JavaScript程式碼函式庫。當舊版瀏覽器不支援某些現代化的API時，Polyfill會模擬這些新功能，讓網頁能在舊環境中正常運行。許多網站都在程式碼中嵌入Polyfill.io的連結。但2024年初一家中國公司收購了Polyfill.io網域後，以其進行供應鏈攻擊，在造訪網域的使用者裝置瀏覽器插入惡意程式碼。當時維護Polyfill專案的原作者提醒大家儘快移除該連結，但許多維護率低的網站並未及時更新。

在使用Polyfill.io程式碼的網站，包括東芝及無印良品網頁兩星期前出現可疑的跳出式登入提示視窗，要求用戶輸入使用者名稱及密碼，意在蒐集用戶輸入憑證。根據二家公司的調查，登入頁皆是由已變成惡意網站的https://polyfill[.]io生成並經由CDN（content delivery network）推送腳本程式。

兩家日本企業網站已於上周移除相關程式碼，並警告用戶不要輸入任何資訊，若用戶已輸入資訊，則應儘速變更密碼。