Im Februar 2024 wurde der weit verbreitete Dienst Polyfill.io, mit dem Websites JavaScript-Code zur Browserkompatibilität ausliefern, von der chinesischen CDN-Firma Funnull übernommen. Anschließend begann diese, Schadcode in die über cdn.polyfill.io ausgelieferten Skripte einzuschleusen. Der manipulierte Code richtete sich mit Ausweichtechniken gezielt gegen mobile Nutzer und leitete sie auf Wett- oder Erwachsenenseiten um.
Bestätigt wurde der Angriff im Juni 2024 von den Sicherheitsfirmen Sansec und C/side. Betroffen waren mehr als 100.000 Websites, die die Bibliothek eingebunden hatten. Dies führte zu breiten Empfehlungen, Verweise auf die Polyfill-Domain umgehend zu entfernen, da weitergehende Schadaktivitäten drohten. Auch Cloudflare und Google ergriffen seinerzeit Maßnahmen zum Schutz der Nutzer.
Die Beteiligung von Funnull legte zunächst eine rein chinesische Operation nahe. Hudson Rock, ein auf Erkenntnisse zu Infostealer-Malware spezialisiertes Sicherheitsunternehmen, kommt nun jedoch zu dem Schluss, dass Funnull wahrscheinlich nur eine “Unternehmensfassade” für eine Operation war, an der auch nordkoreanische Akteure mitwirkten.
Hudson Rock wertet Daten aus, die von mit Infostealern infizierten Rechnern gestohlen wurden, darunter ein Gerät, das von einem oder mehreren nordkoreanischen Hackern genutzt wurde. Der Hacker hatte einen gefälschten Software-Installer heruntergeladen, der ein Exemplar der Schadsoftware LummaC2 auslieferte. Diese sammelte Zugangsdaten, Browser-Protokolle und weitere Daten vom kompromittierten Rechner.
Nach Angaben von Hudson Rock ermöglichten diese Daten eine “lückenlose Beweiskette, die den nordkoreanischen Akteur mit dem chinesischen Syndikat und den Polyfill-Kontrollpanels verbindet”. Zu den Funden zählten Zugangsdaten für das DNS-Verwaltungsportal von Funnull, Zugangsdaten für den Polyfill-Cloudflare-Mandanten – was belegt, dass die manipulierte Domain unter der Kontrolle des Hackers stand – sowie Gespräche über die für den Angriff vorgenommenen Konfigurationsänderungen an der Schaddomain.
Nach Einschätzung des Unternehmens bestand das Ziel des Angriffs darin, Nutzer auf Glücksspielseiten der in China ansässigen Suncity Group umzuleiten. Dieses Glücksspiel-Ökosystem sei darauf ausgelegt gewesen, “große Mengen an Kryptowährung an den nordkoreanischen Staat zurückzuwaschen”. Nordkoreanischen Hackern wird zugeschrieben, 2025 Kryptowährungen im Wert von mehr als zwei Milliarden Dollar gestohlen zu haben.
Die vom selben Gerät abgegriffenen Daten offenbarten zudem eine weitere Operation: Ein nordkoreanischer Akteur hatte sich eine Anstellung bei der Kryptobörse Gate verschafft und seinen Zugang zu den Systemen genutzt, um Informationen über Verfahren zur Verhinderung nordkoreanischer Geldwäsche zu beschaffen.
