A Wikimedia Foundation enfrentou hoje um incidente de segurança causado pela propagação de um worm em JavaScript que vandalizou páginas e alterou scripts de usuários em diversos wikis.
O problema foi identificado inicialmente no fórum técnico Wikipedia Village Pump, onde editores relataram um volume elevado de edições automatizadas contendo scripts ocultos e atos de vandalismo em páginas aleatórias.
Em resposta, os engenheiros da Wikimedia limitaram temporariamente as edições em todos os projetos para investigar o ataque e começaram a reverter as alterações maliciosas.
Segundo o rastreador de issues Phabricator da Wikimedia, o incidente teve origem na execução de um script malicioso hospedado na Wikipédia em russo.
Esse script modificou um arquivo global de JavaScript da Wikipédia, inserindo código malicioso.
O script comprometido estava no usuário User:Ololoshka562/test.js, carregado pela primeira vez em março de 2024, e parece estar relacionado a scripts utilizados em ataques anteriores contra projetos wiki.
Análises do histórico de edições conduzidas indicam que a execução inicial do script partiu de uma conta de funcionário da Wikimedia, aparentemente durante testes da funcionalidade de scripts de usuários.
Ainda não está claro se a execução foi intencional, um erro durante os testes ou resultado do comprometimento da conta.
O script test.js é autorreplicante: ele injeta carregadores maliciosos nos arquivos common.js pessoais dos usuários logados e no MediaWiki:Common.js global, utilizado por todos os editores da Wikipédia.
A arquitetura do MediaWiki permite que JavaScript seja executado tanto globalmente quanto de forma personalizada por usuário, por meio dos arquivos MediaWiki:Common.js e User:<nome>/common.js, que são processados nos navegadores dos editores para personalizar a interface.
Ao ser carregado no navegador de um editor logado, o script tentou modificar dois locais, conforme as permissões daquele usuário:
- Persistência no nível do usuário: sobrescrevia o arquivo User:<nome>/common.js para garantir o carregamento automático do test.js em visitas futuras.
- Persistência em todo o site: caso o usuário tivesse privilégios suficientes, o script também alterava o MediaWiki:Common.js global, garantindo a execução do worm para todos os editores.
Com a modificação do script global, qualquer usuário que acessasse a Wikipédia executaria o worm, que se replicaria da mesma forma, infectando também seus arquivos pessoais common.js.
Além disso, o script incluía uma função para vandalizar páginas aleatórias.
Ele utilizava o comando wiki Special:Random para selecionar uma página ao acaso, inserir uma imagem e adicionar o carregador de JavaScript malicioso de forma oculta.
De acordo com a análise, cerca de 3.996 páginas foram modificadas e aproximadamente 85 usuários tiveram seus arquivos common.js substituídos durante o incidente.
O número de páginas deletadas ainda não foi divulgado.
Durante a propagação do worm, os engenheiros restrigiram as edições para conter o ataque, revertendo as mudanças e removendo as referências aos scripts injetados.
Na fase de limpeza, a equipe da Wikimedia também restaurou arquivos common.js de diversos usuários.
As páginas afetadas foram “suprimidas”, ficando ocultas no histórico de edições.
Até o momento, o código malicioso foi totalmente removido e as edições foram liberadas novamente.
No entanto, a Wikimedia ainda não divulgou um relatório detalhado sobre o incidente, que explique como o script adormecido foi executado ou a extensão real da propagação do worm antes da contenção.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...