У Wikimedia Foundation 5 марта случился неприятный киберинцидент: по проектам прошёлся самораспространяющийся JavaScript-червь, из-за которого инженерам пришлось временно ограничить редактирование и срочно откатывать вредоносные правки. Важная оговорка: по уточнению фонда, вандализм затронул только Meta-Wiki, а не всю Википедию целиком.
Снаружи это выглядело довольно хаотично: редакторы начали замечать автоматические правки, скрытые скрипты и странные изменения на страницах, после чего Wikimedia перевела проекты в режим «только чтение».
Согласно странице фонда, проблемы начались около 18:36 по Москве, в 20:09 вики вернули в режим записи, а позже начали постепенно восстанавливать и пользовательские скрипты.
По предварительной картине, всё началось после срабатывания вредоносного скрипта, который хранился в русской версии Википедии на странице User:Ololoshka562/test.js и, как пишет BleepingComputer, был загружен ещё в марте 2024 года.
В Phabricator и в публикации BleepingComputer говорится, что скрипт, вероятно, активировали во время проверки пользовательского кода: после запуска он пытался прописать вредоносный загрузчик и в пользовательский common.js, и в глобальный MediaWiki:Common.js, чтобы цепочка распространялась дальше уже сама.
Если по-простому, схема была такой: один заражённый скрипт подхватывался в браузере редактора, а дальше пытался переписать JS-настройки этого пользователя и общий скрипт сайта (при наличии нужных прав). После этого любой, кто открывал такой общий скрипт, рисковал снова запустить ту же цепочку.
Параллельно червь ещё и правил случайные страницы, добавляя туда скрытый загрузчик. По оценке BleepingComputer, изменены были примерно 3996 страниц, а у около 85 пользователей оказались подменены файлы common.js, но это именно оценка издания, а не официальный итог Wikimedia.
Сама Wikimedia Foundation после инцидента заявила, что вредоносный код оставался активным 23 минуты. За это время он успел менять и удалять контент на Meta-Wiki, но постоянного ущерба, по словам фонда, не нанёс: материалы восстанавливают, признаков атаки именно на Википедию нет, как и доказательств утечки персональных данных.
