Robak JavaScript zaatakował Wikipedię. Tysiące stron zwandalizowanych w kilkadziesiąt minut

Krótki incydent bezpieczeństwa w projektach Wikimedia Foundation spowodował masowe modyfikacje stron w Wikipedii. Samopropagujący robak JavaScript zmieniał skrypty użytkowników i wprowadzał wandalizm w Meta-Wiki, zanim został zatrzymany przez inżynierów.

Incydent został zauważony przez edytorów, którzy zgłosili na forum technicznym Wikipedii dużą liczbę automatycznych edycji dodających ukryty kod i zmieniających losowe strony. W odpowiedzi administratorzy tymczasowo zablokowali możliwość edytowania projektów Wikimedia, aby powstrzymać rozprzestrzenianie się złośliwego kodu.

Jak działał robak JavaScript

Źródłem problemu okazał się złośliwy skrypt przechowywany w repozytorium użytkownika rosyjskiej Wikipedii. Plik test.js, pierwotnie wgrany w marcu 2024 roku, został uruchomiony podczas testów funkcji skryptów użytkowników. Według analizy portalu BleepingComputer, skrypt mógł zostać aktywowany przez konto pracownika Wikimedia podczas przeglądu bezpieczeństwa.

Po uruchomieniu kod działał w przeglądarce zalogowanego edytora i próbował modyfikować dwa typy skryptów:

  • User:/common.js – plik konfiguracyjny konkretnego użytkownika,
  • MediaWiki.js – globalny skrypt ładowany przez wszystkich edytorów.

Jeśli użytkownik posiadał odpowiednie uprawnienia, robak wstrzykiwał loader JavaScript do globalnego skryptu. Każdy kolejny użytkownik, który wczytał zmodyfikowany plik, automatycznie wykonywał złośliwy kod i mógł zostać kolejnym ogniwem propagacji.

Automatyczny wandalizm stron

Skrypt zawierał również funkcję automatycznej edycji losowych stron poprzez mechanizm Special:Random. Wstawiał obraz oraz ukryty loader JavaScript pobierający dodatkowy kod z zewnętrznego serwera.

Według analizy incydentu:

  • zmodyfikowano około 3996 stron,
  • około 85 użytkowników miało podmienione pliki common.js.

Inżynierowie szybko rozpoczęli proces cofania zmian oraz usuwania wstrzykniętego kodu. W wielu przypadkach zmodyfikowane skrypty użytkowników zostały przywrócone do poprzednich wersji, a niektóre wpisy w historii zmian ukryto.

Kod działał tylko 23 minuty

W oświadczeniu Wikimedia Foundation podkreślono, że złośliwy kod był aktywny przez 23 minuty. W tym czasie zmodyfikował i usunął treści jedynie w projekcie Meta-Wiki, który służy do koordynacji działań społeczności Wikimedia.

Fundacja twierdzi, że:

  • nie doszło do naruszenia danych użytkowników,
  • nie ma dowodów na zewnętrzny atak,
  • wszystkie zmiany są przywracane.

Wciąż jednak nie opublikowano pełnego raportu wyjaśniającego, w jaki sposób uśpiony skrypt został aktywowany i jak szeroko zdążył się rozprzestrzenić przed jego zatrzymaniem.

Źródło:
Bleeping Computer

Tagi

Popularne

Palo Alto Networks ofiarą łańcuchowego ataku na Salesforce
Chaos w Waszyngtonie blokuje wymianę informacji o cyberatakatach
Witamy na Sentry News
Cloudflare blokuje rekordowy atak DDoS – 11,5 Tbps