Технологічний гігант Toshiba та велика роздрібна мережа Muji офіційно попередили своїх клієнтів про появу підозрілих вікон для введення паролів під час відвідування їхніх корпоративних сайтів. Інцидент пов’язаний із залишковим кодом стороннього JavaScript-сервісу polyfill[.]io, який використовувався веб-майстрами для забезпечення сумісності сучасного коду зі старими версіями інтернет-браузерів. У 2024 році цей домен викупила китайська організація, яка впровадила шкідливі скрипти у понад 100 000 сайтів по всьому світу. Попри те, що більшість компаній тоді відмовилися від сервісу, технічні фахівці багатьох організацій за два роки не очистили повністю всі внутрішні веб-сторінки, залишивши застарілі посилання на шкідливу інфраструктуру.

Наприкінці травня 2026 року серверна інфраструктура на домені polyfill[.]io знову перейшла в активну фазу і почала масово повертати на запити користувачів відповіді з кодом помилки HTTP 401. Коли браузери відвідувачів сайтів Toshiba, Muji, а також телевізорів Samsung Smart TV намагалися завантажити фоновий скрипт, вони натрапляли на цей запит і автоматично виводили на екран користувача системне вікно з вимогою ввести логін та пароль. Явних ознак злому самих серверів Toshiba чи Muji або прямого витоку баз даних не зафіксовано, проте зловмисники використали цю легітимну поведінку браузерів для фішингового збору облікових даних. Обидві компанії підтвердили повне видалення залишків коду та ізоляцію сервісу на своїх ресурсах.