Wikimedia Foundation столкнулся с ИБ-инцидентом: самораспространяющийся JavaScript-червь модифицировал пользовательские скрипты и портил страницы Meta-Wiki.

Редакторы сообщили о проблеме на Village Pump (technical), обратив внимание на массовые автоматические правки, добавлявшие скрытые скрипты и мусорный контент на случайные страницы. Из-за атаки инженерам Wikimedia пришлось временно ограничить редактирование для всех проектов.

Согласно записи в баг-трекере Phabricator, инцидент начался с выполнения вредоносного скрипта, размещенного в русскоязычной Wikipedia. Скрипт хранился по адресу User:Ololoshka562/test.js (архивная версия доступна здесь). Впервые его загрузили еще в марте 2024 года и ранее уже связывали с инструментами, задействованными в других атаках на вики-проекты.

Как выяснили журналисты издания Bleeping Computer, изучив историю правок, на прошлой неделе скрипт запустил сотрудник Wikimedia, когда тестировал функциональность пользовательских скриптов. Пока неясно, было ли это сделано намеренно, случайно или действия осуществлялись через скомпрометированный аккаунт.

Механизм работы червя оказался прост: MediaWiki позволяет использовать глобальные и пользовательские JavaScript-файлы (MediaWiki:Common.js и User:<username>/common.js), которые выполняются в браузерах редакторов для кастомизации интерфейса.

Как только скрипт test.js загружался в браузере залогиненного редактора, он пытался модифицировать сразу два файла:

на уровне пользователя — перезаписывал common.js загрузчиком, который автоматически загружал test.js каждый раз, когда пользователь просматривает вики;

на уровне сайта — если у пользователя хватало привилегий, червь редактировал глобальный MediaWiki:Common.js, который загружается у всех редакторов, и заражение становилось автоматическим.

Помимо автоматического распространения, червь запрашивал случайную страницу через Special:Random и внедрял в нее изображение и незаметный JavaScript-загрузчик, подгружающий внешний скрипт с домена basemetrika[.]ru.

По подсчетам журналистов, червь успел модифицировать порядка 3996 страниц, и примерно для 85 пользователей были заменены common.js-файлы. Число удаленных страниц неизвестно.

В итоге сотрудники Wikimedia Foundation откатили изменения в пользовательских common.js на множестве аккаунтов. Измененные страницы скрыли — они больше не отображаются в истории правок. После удаления внедренного кода, редактирование снова стало доступно.

Как сообщили изданию представители Wikimedia Foundation, вредоносный код был активен всего 23 минуты. За это время он изменил и удалил контент только в Meta-Wiki, и с тех пор данные были восстановлены. В фонде подчеркнули, что признаков атаки на саму Wikipedia нет, а также не зафиксировано каких-либо утечек данных.

«Сотрудники фонда проводили проверку безопасности пользовательского кода в Wikipedia. В ходе проверки мы запустили неактивный код, который был быстро идентифицирован как вредоносный. В качестве превентивной меры мы временно отключили редактирование в Wikipedia и других проектах Wikimedia, пока удаляли вредоносный код и убеждались, что сайт безопасен для пользователей. Проблема, ставшая причиной этих перебоев, уже устранена», — сообщили в Wikimedia Foundation.

Также в организации подчеркнули, что разрабатывают дополнительные меры безопасности, чтобы минимизировать риск повторения подобных инцидентов.