Sansec的报告发布两天后，业界纷纷采取措施缓解Polyfill.io的风险：域名注册商 Namecheap暂停了域名（Polyfill.io），此举有效地阻止了恶意代码在访客设备上运行。随后，Cloudflare等CDN服务商也开始自动将polyfill.io的链接替换为安全镜像站点的域名。谷歌则屏蔽了嵌入Polyfill.io域名的网站广告。网站拦截器uBlock Origin将该域名添加到其过滤列表中。Polyfill.io的原始创建者 Andrew Betts也敦促网站所有者立即删除指向该库的链接。

Sansec建议不再需要Polyfill函数库的网站应该立刻移除polyfill.io，或是改用由Fastly或Cloudflare所提供的Polyfill方案。

虽然业界集体行动暂时缓解了polyfill供应链攻击威胁，但是，据安全公司Censys的最新报告，截至本周二，仍然有超过38万个网站链接到（已被关停的）Polyfill.io恶意网站。其中一些网站与亚马逊、Hulu、梅赛德斯-奔驰、华纳兄弟等国际知名企业和政府机构有关，包括：

华纳兄弟（www.warnerbros.com）Hulu（www.hulu.com）梅赛德斯-奔驰（shop.mercedes-benz.com）培生（digital-library-qa.pearson.com、digital-library-stg.pearson.com）ns-static-assets.s3.amazonaws.com

amazonaws.com是仍链接到polyfill站点的网站中最常用的域名，这表明亚马逊S3静态网站托管的用户广泛使用polyfill恶意域名。

Censys还发现182个以.gov结尾的域名，可能属于政府实体。其中一个域名 feedthefuture[.]gov隶属于美国联邦政府。

上述调查结果再次证明了软件供应链攻击的巨大杀伤半径，同时也意味着危险并未真正解除，因为polyfill恶意网站域名一旦“复活”或者被跳转到其他恶意站点，这个定时炸弹随时有可能再次被引爆。

值得警惕的是，Censys扫描互联网还发现，有超过160万个网站链接到一个或多个由拥有polyfill.io的同一公司实体注册的域名。至少有一个网站bootcss[.]com在2023年6月被发现执行了与polyfill类似的恶意操作。该域名以及其他三个域名（bootcdn[.]net、staticfile[.]net和staticfile[.]org）还被发现泄露了用户用于访问Cloudflare提供的编程接口的身份验证密钥。