polyfill.jsのCDNとGitHubリポジトリが中国籍オーナーによりマルウェア汚染されたそうです。Xでの奥村先生のポストより。

<script src="https​://polyfill.io/v3/polyfill​.min.​js?... みたいなのは消すこと
polyfill​.io 以外にも危険なドメイン名
bootcdn​.net
bootcss​.com
staticfile​.net
staticfile​.org
unionadjs​.com
xhsbpza​.com
union​.macoms​.la
newcrbpc​.comhttps://t.co/082WA44RbO 参照

— Haruhiko Okumura (@h_okumura) 2024年6月29日

Sansecの記事によるとマルウェアはスマホをターゲットにしており、見つかりにくいように特定の時間だけ動作するそうです。

cdn.polyfill.ioはCloudflareにより書き換えられてドメイン自体も対処されたようですが、引き続き削除が推奨されています。他のいくつかのCDN用ドメインも汚染された状態のようです。詳細は把握していませんが、注意して損はないので共有します。

GitHubリポジトリも確認した限りは復元されてアーカイブ状態になったようです。

以下はpolyfill.js原作者（中国企業へ売却した方とは別人）による使用停止を呼びかけるXのポストです。

If your website uses https://t.co/3xHecLPXkB, remove it IMMEDIATELY.

I created the polyfill service project but I have never owned the domain name and I have had no influence over its sale. https://t.co/GYt3dhr5fI

— Andrew Betts (@triblondon) 2024年2月25日

uBlock Originはpolyfill.ioをブロックリストに追加済みでした。他のブラウザ拡張も対応済みだと思います。ただし、多くのアプリ内蔵ブラウザではおそらくブロックされません。要注意です。

なお、CloudflareとFastlyのCDN版は問題ないようです。

追記　中国企業はFunnullというCDNプロバイダーとのことです。