可疑的 Polyfill 登录提示出现在东芝和无印良品网站上

科技巨头东芝和大型零售商无印良品警告访客，其网站上出现的可疑登录弹窗可能会窃取用户凭证。

这两家日本公司均建议在认证界面中输入了账户登录信息的用户立即更改密码，以保护其服务账户安全。

这些登录弹窗由托管在 polyfill[.]io 的外部服务生成。该服务于 2024 年在其 CDN 分发的脚本中引入了恶意代码。

东芝在一则简短通报中表示：「我们已确认，我们网站的某些部分可能会显示如下所示的登录界面。我们正在努力消除此弹窗，但如果您确实看到它，请选择『取消』，不要输入任何信息。」

日本零售巨头无印良品本周早些时候发布了类似的公告，警告网站访客注意由外部服务 polyfill[.]io 生成的可疑认证弹窗。

无印良品表示：「目前，我们尚未确认该网站存在任何未经授权的访问或信息泄露，但为确保客户安全，我们希望您能采取相应措施。」

东芝和无印良品均已解决该问题并暂停了相关服务。

据日本媒体报道，象印（Zojirushi）、FiNC Technologies、石 Yakuhaku 出版社以及在线出版品牌 Hobonichi 也受到了同样问题的影响。

安全研究员 Pasquale Pillitteri 表示，三星智能电视和部分网站也在 6 月 1 日显示了类似的登录提示。

一些报道称，该问题是由 2024 年的 polyfill[.]io 事件引起的。当时该域名被一家中国实体收购，并添加了恶意脚本，影响了超过 10 万个使用 Polyfill 服务的网站。

Polyfill 是一个为旧版浏览器提供的 JavaScript CDN，通过对不支持的技术提供兼容层，使现代网站能够在旧浏览器上运行。

Polyfill 代码通过 polyfill[.io] 的 CDN 分发，尽管该域名并不属于开源项目作者 Andrew Betts。因此，当该域名过期后，任何人都可以注册它。

当时，Betts 公开回应，建议网站所有者从其站点中移除该服务，并在新域名 polyfill.com 上重新启动了 JavaScript CDN 服务，后来最终固定在 polyfill.top。

虽然停用 polyfill[.]io 的服务停止了重定向，但过去两年中一些使用该服务的网站未能完全清理其所有页面，因此仍然残留着 Polyfill 代码片段。

Pillitteri 报告称，从 2026 年 5 月底开始，polyfill[.]io 域名重新活跃起来，并开始响应 HTTP 401 认证请求。

访问东芝和无印良品等页面的用户浏览器将其解释为对用户名和密码的请求，因此弹出登录提示。

目前没有迹象表明受影响的网站遭到入侵，也没有证据表明在这些恶意登录界面中输入的凭证已被窃取。然而，强烈建议用户对任何意外的身份验证弹窗保持警惕。