Polyfill.io-вхід

На реальних сайтах з’явилися підозрілі браузерні вікна входу, пов’язані з polyfill.io. Для відвідувача це виглядає як запит логіна і пароля від сторінки, яку він відкрив, але фактично браузер показує запит для стороннього домену. MUJI повідомила, що частина її сторінок могла показувати підозріле вікно авторизації через зовнішній сервіс polyfill.io, і порадила користувачам, які вводили дані, змінити пароль також на інших сервісах, де він повторювався [1]. BleepingComputer описав той самий сценарій для сторінок Toshiba та MUJI після того, як домен почав відповідати запитами авторизації [2].

Головне правило: якщо браузер просить увійти до polyfill.io, натисніть скасування і нічого не вводьте. Це не звичайна форма входу на сайт. Таке вікно виникає тому, що сторінка досі завантажує сторонній JavaScript із домену, який уже мав історію supply-chain зловживань.

Чому з’являється це вікно

Багато старих сайтів колись додавали рядок на кшталт <script src="https://cdn.polyfill.io/v3/polyfill.min.js"></script>, щоб підтримувати застарілі браузери. У 2024 році ця модель довіри стала небезпечною: Polyfill.io пов’язували з доставкою шкідливого JavaScript і перенаправленнями. У своїй нотатці Cloudflare тоді радив прибрати Polyfill.io з проєктів і замінити його перевіреною альтернативою, якщо polyfill ще справді потрібен [3].

Саме вікно не доводить, що сайт зламано або що пароль уже викрадено. Але цього достатньо, щоб не користуватися сторінкою до виправлення і вважати введені в таке вікно дані потенційно скомпрометованими.

Що робити користувачам

• Не вводьте дані. Закрийте вікно, залиште сторінку і дочекайтеся підтвердження, що сайт виправлено.
• Якщо пароль було введено, змініть його. Спершу змініть пароль на цьому сайті, а потім на всіх інших акаунтах, де він повторювався.
• Увімкніть MFA. Особливо для пошти, магазинів, робочих сервісів, банківських і соціальних акаунтів.
• Слідкуйте за подальшим фішингом. Якщо пароль повторювався, атакувальники можуть спробувати пов’язані поштові, платіжні або маркетплейс-акаунти.
• Перевірте пристрій, якщо були редиректи або завантаження. Саме вікно не є malware, але несподівані файли, нові розширення або перенаправлення варто перевірити за допомогою Gridinsoft Anti-Malware чи іншого надійного засобу.

Що перевірити власникам сайтів

Перегляньте шаблони, CMS-теми, старі плагіни, tag manager і bundled JavaScript на наявність таких рядків:

• polyfill.io
• cdn.polyfill.io
• polyfill.min.js

Приберіть залежність, а не лише приховайте симптом. Якщо polyfill справді потрібен, використовуйте підтримуване джерело, яке можна перевірити, і з’ясуйте, звідки саме старий скрипт потрапив на сторінку: з вашого коду, теми, віджета, плагіна або tag manager. Для сайтів із авторизацією варто також розглянути коротке повідомлення користувачам, якщо частина відвідувачів могла ввести дані.

Як зменшити повторний ризик

Сторонній JavaScript потрібно вважати частиною поверхні атаки сайту. Ведіть перелік зовнішніх скриптів, видаляйте застарілий код сумісності, обмежуйте доступ до tag manager і перегляньте Content Security Policy, щоб неочікувані джерела скриптів було легше помітити. Якщо сайт має логін, окремо відстежуйте сплески скидання паролів і звернення користувачів про дивні браузерні запити входу.

FAQ

Джерела

1. Ryohin Keikaku / MUJI. “Notice about display of a suspicious authentication screen,” MUJI, 2 червня 2026; оновлено 3 червня 2026, дата доступу: 6 червня 2026. https://www.muji.com/jp/ja/notice/1676928
2. Bill Toulas. “Suspicious Polyfill login prompts pop up on Toshiba, Muji websites,” BleepingComputer, 5 червня 2026, дата доступу: 6 червня 2026. https://www.bleepingcomputer.com/news/security/suspicious-polyfill-login-prompts-pop-up-on-toshiba-muji-websites/
3. Cloudflare. “Automatically replacing polyfill.io links with Cloudflare’s mirror for a safer Internet,” Cloudflare Blog, 27 червня 2024, дата доступу: 6 червня 2026. https://blog.cloudflare.com/automatically-replacing-polyfill-io-links-with-cloudflares-mirror-for-a-safer-internet