Hier die Kurzbeschreibung des Supply-Chain-Angriffs: Die Open-Source-Bibliothek Polyfill wurde verwaist, und die Domain Polyfill.io wurde nicht verlängert. Chinesische Angreifer nutzten die Gelegenheit, kauften die Domain und übernahmen somit das Repository. Daraufhin schlichen sie fast unbemerkt Schadcode ein und rollten diesen aus.

Marc Stöck schreibt in »Fast 400.000 Webhosts verbreiten Malware via Polyfill.io« für golem.de:

Ende Juni warnten Sicherheitsforscher von Sansec vor einem Supply-Chain-Angriff über das weitverbreitete JavaScript-Projekt Polyfill.io, das im Februar von einem chinesischen Unternehmen namens Funnull übernommen wurde. Weitere Untersuchungen von Censys zeigen nun, dass derzeit fast 400.000 Hosts von dem Projekt Gebrauch machen. Ein Großteil davon befindet sich in Deutschland.

The Morpheus hat das gesamte Geschehen in einem Video zusammengefasst.