Более 110 тысяч сайтов, использующих открытую JavaScript-библиотеку Polyfill для обеспечения совместимости со старыми версиями браузеров, пострадали из-за смены собственника проекта. В библиотеку, был встроен вредоносный код, перенаправляющий пользователя на мошеннические сайты, букмекерские конторы и online-казино.
Проект Polyfill в феврале был продан компании Funnull из Китая, которая получила доступ к учётной записи на GitHub и сайту polyfill.io. Спустя несколько месяцев после приобретения новый владелец открыл для себя «новые возможности» монетизации трафика, пересылая пользователей на мошеннические сайты. Перенаправление срабатывало не всегда, а в определённые часы и при соблюдении условий, таких как открытие сайта с мобильного телефона и отсутствие Cookie, сигнализирующих, что страницу открыл администратор сайта. При выявлении на сайте систем web-аналитики, редирект задерживался на несколько секунд, чтобы не засветиться в статистике таких систем.
Сейчас новый владелец занят тем, что удаляет из GitHub любые жалобы, указывающие на подозрительную активность или смену владельца, и, видимо, рассчитывает на то, что пользователи посчитают автоматический переход инициативой авторов изначально открываемых сайтов.
На сегодняшний день, регистратор доменных имен приостановил работу домена Polyfill.io, что делает невозможным загрузку модифицированной библиотеки. Тем не менее, разработчикам рекомендуется удалить все ссылки на Polyfill.io в своем коде.
Те, кому Polyfill по-прежнему необходим, могут воспользоваться вариантами библиотеки, распространяемыми компаниями Fastly и Cloudflare, либо форком созданным изначальным автором проекта.