Auf den Punkt: Zwei Jahre nach einem Supply-Chain-Angriff auf polyfill.io verursachte die kompromittierte Domain durch übergebliebene Codezeilen gefälschte Login-Aufforderungen auf Websites großer Marken.
Die reaktivierte Domain polyfill.io versendete ab Ende Mai 2026 manipulierte HTTP-401-Authentifizierungsanfragen an Websites von Toshiba, Muji und weiteren Marken, was Browser-Pop-ups mit gefälschten Login-Masken zur Folge hatte. Das Problem wurzelt in einem Supply-Chain-Angriff aus 2024, bei dem die Domain nach Ablauf an chinesische Akteure fiel.
Seit Ende Mai 2026 zeigen sich auf den Websites von Toshiba und Muji verdächtige Authentifizierungsaufforderungen. Die betroffenen Unternehmen geben an, dass die externe Domain polyfill.io unerwartete HTTP-401-Antworten an Besucher-Browser sendet. Diese Antworten werden vom Browser als legitime Authentifizierungsanfrage interpretiert und führen zur Anzeige eines Standard-Login-Pop-ups. Nutzer könnten unbewusst ihre Anmeldedaten in diese gefälschten Masken eingeben.
Der Ursprung liegt in einem bekannten Supply-Chain-Angriff aus 2024: Polyfill.io ist ein JavaScript-Dienst, der moderne Webinhalte auf älteren Browsern lauffähig macht. Nachdem der ursprüngliche Open-Source-Entwickler Andrew Betts die Domain nicht mehr verwaltete, wurde diese nach dem Ablauf von einer chinesischen Entität übernommen und mit Schadcode versehen. Dies beeinträchtigte über 100.000 Websites weltweit. Betts warnte daraufhin und migrierte das legitime Projekt auf neue Domains wie polyfill.com und polyfill.top. Viele Website-Betreiber entfernten die Referenzen zur alten Domain polyfill.io jedoch nicht vollständig aus ihren Codebäsen.
Neben Toshiba und Muji waren auch ältere Webseiten von Zojirushi, FiNC Technologies, Ishiyaku Publishers, Hobonichi sowie Samsung Smart TVs ab 1. Juni 2026 betroffen. Toshiba und Muji haben die Einbindung des Dienstes mittlerweile vollständig eingestellt. Nach aktuellem Stand gibt es keine bestätigten Fälle von erfolgreichem Datenabfluss durch die manipulierten Pop-ups. Beide Unternehmen empfehlen Nutzern, die möglicherweise Anmeldedaten eingegeben haben, eine sofortige Passwortänderung vorzunehmen.
Quelle: www.it-daily.net · Erschienen 10. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.6.5.