JavaScript-червь атаковал Википедию: 3996 страниц и 85 пользователей за 23 минуты

Самораспространяющийся JavaScript-червь поразил проекты Wikimedia Foundation 5 марта 2026 года. За 23 минуты активности он изменил около 3996 страниц и перезаписал скрипты 85 пользователей. Инженеры перевели вики-проекты в режим «только чтение» и откатили вредоносные правки.

Wikimedia уточнила:

Вандализм затронул только Meta-Wiki, а не всю Википедию.

Червь хранился в русской Википедии на странице User:Ololoshka562/test.js. По данным BleepingComputer, файл загрузили ещё в марте 2024 года. Активировали его случайно: инженер по безопасности Wikimedia Foundation Скотт Бассетт (Scott Bassett) запустил скрипт во время проверки пользовательского кода, сообщает GIGAZINE со ссылкой на внутренние обсуждения фонда.

После запуска червь действовал в два шага. Сначала внедрял вредоносный загрузчик в персональный файл common.js того редактора, в чьём браузере выполнился. Затем пытался переписать глобальный MediaWiki:Common.js, файл, который загружается для всех авторизованных пользователей вики. Если у заражённого редактора хватало прав на правку глобального скрипта, цепочка замыкалась: каждый следующий авторизованный посетитель загружал заражённый common.js и запускал цикл заново.

Параллельно червь правил случайные страницы через команду Special:Random. На каждую вставлял изображение Woodpecker10.jpg размером 5000 пикселей и скрытый JavaScript-загрузчик, подтягивающий внешний скрипт с домена basemetrika.ru.

Проблемы начались около 18:36 по Москве 5 марта. SRE-команда (Site Reliability Engineering, эксплуатация инфраструктуры) Wikimedia перевела все проекты в режим «только чтение» и отключила загрузку пользовательских скриптов. К 20:09 редактирование восстановили, все вредоносные правки откатили.

В заявлении Wikimedia Foundation, говорится:

Код работал 23 минуты. За это время он изменял и удалял контент на Meta-Wiki, сейчас он восстановлен. Постоянного ущерба нет. У нас нет данных о том, что Википедия подверглась атаке или что персональные данные пользователей были скомпрометированы.

Википедия позволяет редакторам создавать произвольные JavaScript-файлы, которые выполняются в браузере, это проектное решение, а не уязвимость в классическом смысле. Аккаунт Ololoshka562 с вредоносным скриптом существовал в системе с 2024 года. Два года без удаления. Как отмечают участники Wikipediocracy, подобные атаки на другие вики-проекты в прошлом приводили к невосстановимым последствиям.

Wikimedia Foundation заявила, что разрабатывает дополнительные меры безопасности для предотвращения подобных инцидентов. Детальный постинцидентный отчёт на момент публикации не опубликован.