Википедию атаковал самораспространяющийся JavaScript-червь, который повредил страницы

Фонд Wikimedia Foundation столкнулся с неприятным киберпреступным эпизодом. В инфраструктуре проектов обнаружился самораспространяющийся JavaScript-червь, который начал модифицировать пользовательские скрипты и портить страницы на Meta-Wiki. Инженерам пришлось срочно ограничить редактирование, чтобы остановить лавину автоматических правок.

История выглядит почти как маленький техно-триллер внутри крупнейшей онлайн-энциклопедии. Редакторы заметили странную активность и подняли тревогу на странице обсуждения «Village Pump (technical)» в Wikipedia. Пользователи обнаружили поток правок, появлявшихся практически без участия людей. Эти изменения добавляли скрытые фрагменты JavaScript и одновременно оставляли следы банального вандализма на случайных страницах.

После первых сигналов команда инженеров начала экстренную реакцию. Разработчики временно ввели ограничения на редактирование внутри ряда проектов. Параллельно шла массовая отмена подозрительных изменений, чтобы вернуть страницы к прежнему состоянию и остановить распространение вредоносного кода.

Разбор инцидента быстро вывел специалистов на техническую деталь. По данным системы отслеживания ошибок Phabricator, заражение могло начаться с запуска вредоносного скрипта, размещённого в русскоязычном разделе энциклопедии. После активации скрипт сумел изменить глобальный JavaScript-файл платформы и внедрить туда дополнительный код.

Исходный вредоносный файл находился по адресу User:Ololoshka562/test.js. Архив показывает, что этот файл появился ещё в марте 2024 года. Аналитики предполагают связь с инструментами, применявшимися ранее во время атак на вики-проекты.

Журнал изменений, изученный журналистами издания BleepingComputer, указывает на интересный момент. Первое выполнение скрипта произошло утром и было связано с учётной записью сотрудника Wikimedia. Инцидент произошёл во время проверки работы пользовательских скриптов. Причина запуска пока остаётся неопределённой. Возможны разные версии: случайная активация тестового файла, загрузка скрипта во время эксперимента или использование скомпрометированной учётной записи.

Анализ архивной копии test.js показал довольно неприятную механику заражения. Код способен самостоятельно распространяться через систему пользовательских скриптов. Он внедряет загрузчики JavaScript в файл common.js авторизованного участника и одновременно добавляет вредоносный код в MediaWiki:Common.js. Этот файл применяется глобально и выполняется у всех редакторов.

Тут появляется важная архитектурная особенность платформы MediaWiki. Движок позволяет подключать глобальные и персональные JavaScript-файлы. Среди них MediaWiki:Common.js и User:<username>/common.js. Эти файлы выполняются прямо в браузере участников редактирования и позволяют менять интерфейс энциклопедии.

В обычной ситуации механизм используется для удобных пользовательских инструментов и интерфейсных улучшений. В случае заражения та же система превращается в канал распространения вредоносного кода. Червь внедряется в общий файл, затем автоматически оказывается у каждого редактора, чей браузер загружает скрипты.