Самораспространяющийся JavaScript-червь поразил проекты Wikimedia Foundation 5 марта 2026 года. За 23 минуты активности он изменил около 3996 страниц и перезаписал скрипты 85 пользователей. Инженеры перевели вики-проекты в режим «только чтение» и откатили вредоносные правки.
Wikimedia уточнила:
Вандализм затронул только Meta-Wiki, а не всю Википедию.
Червь хранился в русской Википедии на странице User:Ololoshka562/test.js. По данным BleepingComputer, файл загрузили ещё в марте 2024 года. Активировали его случайно: инженер по безопасности Wikimedia Foundation Скотт Бассетт (Scott Bassett) запустил скрипт во время проверки пользовательского кода, сообщает GIGAZINE со ссылкой на внутренние обсуждения фонда.
Читайте также: Изображения из личных чатов мессенджера MAX доступны по прямой ссылке без авторизации
После запуска червь действовал в два шага. Сначала внедрял вредоносный загрузчик в персональный файл common.js того редактора, в чьём браузере выполнился. Затем пытался переписать глобальный MediaWiki:Common.js, файл, который загружается для всех авторизованных пользователей вики. Если у заражённого редактора хватало прав на правку глобального скрипта, цепочка замыкалась: каждый следующий авторизованный посетитель загружал заражённый common.js и запускал цикл заново.
Параллельно червь правил случайные страницы через команду Special:Random. На каждую вставлял изображение Woodpecker10.jpg размером 5000 пикселей и скрытый JavaScript-загрузчик, подтягивающий внешний скрипт с домена basemetrika.ru.
Проблемы начались около 18:36 по Москве 5 марта. SRE-команда (Site Reliability Engineering, эксплуатация инфраструктуры) Wikimedia перевела все проекты в режим «только чтение» и отключила загрузку пользовательских скриптов. К 20:09 редактирование восстановили, все вредоносные правки откатили.
В заявлении Wikimedia Foundation, говорится:
Код работал 23 минуты. За это время он изменял и удалял контент на Meta-Wiki, сейчас он восстановлен. Постоянного ущерба нет. У нас нет данных о том, что Википедия подверглась атаке или что персональные данные пользователей были скомпрометированы.
Википедия позволяет редакторам создавать произвольные JavaScript-файлы, которые выполняются в браузере, это проектное решение, а не уязвимость в классическом смысле. Аккаунт Ololoshka562 с вредоносным скриптом существовал в системе с 2024 года. Два года без удаления. Как отмечают участники Wikipediocracy, подобные атаки на другие вики-проекты в прошлом приводили к невосстановимым последствиям.
Читайте также: ИИ-расширение Blackbox AI для VS Code с 4,7 млн установок даёт злоумышленнику root-доступ через картинку
Wikimedia Foundation заявила, что разрабатывает дополнительные меры безопасности для предотвращения подобных инцидентов. Детальный постинцидентный отчёт на момент публикации не опубликован.
Есть новость? Станьте автором.
Мы сотрудничаем с независимыми исследователями и специалистами по кибербезопасности. Отправьте нам новость или предложите статью на рассмотрение редакции.
