### Grandes Marcas Sinalizam Telas de Autenticação Maliciosas Usuários que visitam os sites de empresas japonesas proeminentes como **Toshiba** e **Muji** foram recebidos com pop-ups de login incomuns. Ambas as empresas aconselharam rapidamente os clientes que possam ter inserido suas credenciais nessas telas suspeitas a alterar imediatamente suas senhas para os serviços afetados. "Confirmamos que algumas partes do nosso site podem exibir uma tela de login como a mostrada abaixo. Atualmente, estamos trabalhando para eliminar esta tela, mas se você a vir, selecione 'Cancelar' sem inserir nenhuma informação", declarou a **Toshiba** em uma comunicação oficial.  A **Muji** publicou um alerta semelhante, pedindo cautela. Embora nenhuma das empresas tenha confirmado acesso não autorizado ou vazamento de informações, elas enfatizaram a importância da segurança do cliente. Tanto a **Toshiba** quanto a **Muji** resolveram o problema imediato suspendendo a integração do serviço problemático. ### A Ressurgência do Polyfill.io: Uma Ameaça Persistente A causa raiz dessas solicitações de login maliciosas reside no serviço externo hospedado em **polyfill[.]io**. Este domínio tem um histórico controverso, tendo sido implicado em um incidente em 2024, onde introduziu código malicioso em scripts entregues por meio de sua Content Delivery Network (CDN). **Polyfill** é uma CDN de JavaScript de código aberto projetada para fornecer camadas de compatibilidade, permitindo que sites modernos funcionem corretamente em navegadores mais antigos. O criador do projeto original, **Andrew Betts**, nunca foi proprietário do domínio **polyfill[.]io**. Quando o domínio expirou, ele foi adquirido por uma entidade chinesa, levando à injeção de script malicioso em 2024 que afetou mais de 100.000 sites. Embora **Betts** tenha recomendado publicamente a remoção do serviço e subsequentemente relançado a CDN em polyfill.com, muitos sites falharam em remover completamente as referências antigas a **polyfill[.]io** de suas bases de código. O pesquisador de segurança **Pasquale Pillitteri** relatou que, a partir do final de maio de 2026, o domínio **polyfill[.]io** voltou a ficar ativo. Desta vez, em vez de injetar scripts maliciosos diretamente, ele começou a responder com requisições de autenticação HTTP 401. Os navegadores dos usuários interpretam essas respostas 401 como requisições legítimas por um nome de usuário e senha, exibindo consequentemente um prompt de login em nível de sistema. Esse mecanismo engana os usuários para que divulguem potencialmente suas credenciais, mesmo que o prompt se origine de um script de terceiros em vez do site legítimo. ### Impacto Generalizado e Vigilância Contínua Além de **Toshiba** e **Muji**, a mídia japonesa relatou que outras entidades, incluindo **Zojirushi**, **FiNC Technologies**, **Ishiyaku Publishers** e a marca de publicação online **Hobonichi**, também foram afetadas. **Pillitteri** observou ainda que **Samsung Smart TVs** e sites associados exibiram solicitações de login semelhantes por volta de 1º de junho. No momento, não há evidências confirmadas de que as credenciais inseridas nessas telas maliciosas tenham sido roubadas. No entanto, o potencial para coleta de credenciais é significativo. Este incidente serve como um lembrete crítico para profissionais de segurança de TI e usuários preocupados com a privacidade exercitarem extrema cautela em relação a solicitações de autenticação inesperadas, especialmente aquelas que aparecem fora de contexto ou sem ação explícita do usuário. As organizações devem garantir auditorias completas das integrações de scripts de terceiros e manter a vigilância contra domínios inativos e potencialmente comprometidos que podem reativar e representar novas ameaças.