Domínio polyfill.io reativado injeta prompts falsos de login em sites da Toshiba, Muji e Samsung

O polyfill.io nunca foi só uma biblioteca: era uma peça crítica de infraestrutura web, usada por centenas de milhares de sites para garantir compatibilidade em navegadores antigos. Quando a Funnull o adquiriu em fevereiro de 2024, não comprou apenas um domínio, assumiu controle sobre um vetor de ataque de cadeia de suprimentos com alcance global. A primeira onda, em junho de 2024, injetava redirecionamentos para apostas e domínios falsos como 'googie-anaiytics.com'. Agora, em maio de 2026, o ataque mudou de tática: em vez de carregar scripts maliciosos, o cdn.polyfill.io responde com HTTP 401, acionando o prompt nativo de login do navegador, sem qualquer código visível no DOM. Isso burla CSP, bloqueadores de anúncios e até ferramentas de análise estática, pois o navegador mesmo gera a tela falsa.

Esse é um salto técnico perigoso: não é mais preciso injetar HTML ou JavaScript para roubar credenciais. Basta que o site ainda chame o script, e isso vale para marcas como Toshiba e Samsung, cujos portais de suporte e TVs inteligentes ainda dependem desse recurso obsoleto. A vulnerabilidade não está no código do site, mas na inércia operacional: manter uma dependência externa descontinuada e agora hostil.

A primeira onda (junho de 2024) usava injeção dinâmica de JS malicioso com evasão por agente de usuário e atraso de execução. A atual (maio de 2026) elimina o payload JS inteiramente: explora o comportamento padrão do navegador ao receber 401, gerando prompts nativos que parecem legítimos até para usuários técnicos. Também mudou o alvo: antes eram redirecionamentos genéricos; agora são credenciais específicas de contas corporativas e de dispositivos IoT, como TVs Samsung e apps de saúde da FiNC Technologies.

Empresas brasileiras que usam CMS como WordPress, Ghost ou sistemas internos baseados em frameworks antigos provavelmente ainda carregam polyfill.io, e não sabem. Um único script não removido pode transformar um portal institucional em uma armadilha de credenciais, sem deixar rastros em logs de aplicação. Isso invalida políticas de segurança baseadas em 'não executar código de terceiros': aqui, o código nem é executado, o navegador age sozinho. A resposta técnica exige auditoria imediata de <script src="https://polyfill.io/..."> em todos os ambientes, não apenas produção, e substituição por espelhos verificados como cdnjs.cloudflare.com/polyfill/.