文章总结： 2026年6月，东芝和无印良品等日本企业网站出现由polyfill.io服务引发的可疑登录弹窗，该问题源于2024年该域名被收购后植入的恶意脚本。尽管暂无数据泄露证据，企业已暂停服务并建议用户遇到弹窗时选择取消、立即修改密码。安全研究员指出此事件为供应链安全风险残留案例，强调需彻底清理第三方依赖代码。 综合评分： 78 文章分类： 漏洞预警,供应链安全,网络安全,应用安全,数据安全

【安全圈】可疑的 Polyfill 登录提示出现在东芝和无印良品网站上

安全圈

2026年6月8日 19:00 江苏

在小说阅读器读本章

去阅读

关键词

入侵

科技巨头东芝和大型零售商无印良品警告访客，其网站上出现的可疑登录弹窗可能会窃取用户凭证。

这两家日本公司均建议在认证界面中输入了账户登录信息的用户立即更改密码，以保护其服务账户安全。

这些登录弹窗由托管在 polyfill[.]io 的外部服务生成。该服务于 2024 年在其 CDN 分发的脚本中引入了恶意代码。

东芝在一则简短通报中表示：「我们已确认，我们网站的某些部分可能会显示如下所示的登录界面。我们正在努力消除此弹窗，但如果您确实看到它，请选择『取消』，不要输入任何信息。」

日本零售巨头无印良品本周早些时候发布了类似的公告，警告网站访客注意由外部服务 polyfill[.]io 生成的可疑认证弹窗。

无印良品表示：「目前，我们尚未确认该网站存在任何未经授权的访问或信息泄露，但为确保客户安全，我们希望您能采取相应措施。」

东芝和无印良品均已解决该问题并暂停了相关服务。

据日本媒体报道，象印（Zojirushi）、FiNC Technologies、石 Yakuhaku 出版社以及在线出版品牌 Hobonichi 也受到了同样问题的影响。

安全研究员 Pasquale Pillitteri 表示，三星智能电视和部分网站也在 6 月 1 日显示了类似的登录提示。

一些报道称，该问题是由 2024 年的 polyfill[.]io 事件引起的。当时该域名被一家中国实体收购，并添加了恶意脚本，影响了超过 10 万个使用 Polyfill 服务的网站。

Polyfill 是一个为旧版浏览器提供的 JavaScript CDN，通过对不支持的技术提供兼容层，使现代网站能够在旧浏览器上运行。

Polyfill 代码通过 polyfill[.io] 的 CDN 分发，尽管该域名并不属于开源项目作者 Andrew Betts。因此，当该域名过期后，任何人都可以注册它。

当时，Betts 公开回应，建议网站所有者从其站点中移除该服务，并在新域名 polyfill.com 上重新启动了 JavaScript CDN 服务，后来最终固定在 polyfill.top。

虽然停用 polyfill[.]io 的服务停止了重定向，但过去两年中一些使用该服务的网站未能完全清理其所有页面，因此仍然残留着 Polyfill 代码片段。

Pillitteri 报告称，从 2026 年 5 月底开始，polyfill[.]io 域名重新活跃起来，并开始响应 HTTP 401 认证请求。

访问东芝和无印良品等页面的用户浏览器将其解释为对用户名和密码的请求，因此弹出登录提示。

目前没有迹象表明受影响的网站遭到入侵，也没有证据表明在这些恶意登录界面中输入的凭证已被窃取。然而，强烈建议用户对任何意外的身份验证弹窗保持警惕。

END

阅读推荐

【安全圈】谷歌 Gemini 语音助理曝漏洞，黑客利用通知信息为 AI “下毒”

【安全圈】安全公司警告有黑客在 GitHub 利用自动安装脚本发起供应链投毒

【安全圈】AI Agent 发现 FFmpeg 21 个 0Day 漏洞；Chrome 创纪录修复 429 处缺陷

【安全圈】深夜，黑客潜入发薪后台！常州武进检察破获特大网络“金库”盗窃案

安全圈

←扫码关注我们

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈 《【安全圈】可疑的 Polyfill 登录提示出现在东芝和无印良品网站上》