Что произошло с Wikipedia?
Некоммерческая организация Wikimedia Foundation, которая занимается работой "Википедии", была вынуждена срочно перевести ресурс в режим "только для чтения". Это решение приняли после того, как редакторы начали массово сообщать о странной активности: неизвестный скрипт автоматически редактировал страницы, добавляя к описаниям изменений текст на русском языке "Закрываем проект", пишет PC Mag.
Смотрите также Иранское приложение для молитвы взломали, чтобы разослать антиправительственные уведомления 5 миллионам людей
Как выяснилось позже, причиной инцидента стал JavaScript-хробак, обладающий способностью к самостоятельному размножению внутри системы. Вредоносный код не был частью целенаправленной хакерской атаки, которая происходила в реальном времени. Зато специалисты обнаружили, что это был старый скрипт под названием "test.js", загруженный на русскоязычный сегмент "Википедии" еще в марте 2024 пользователем с красноречивым никнеймом "Ololoshka562".
История редактирований с русским текстом / Фото meta.wikimedia.org
В течение почти двух лет этот файл оставался в спящем состоянии, пока один из сотрудников Wikimedia Foundation случайно не активировал его во время плановой проверки безопасности пользовательского кода.
Механизм действия этого "червя" оказался достаточно опасным для целостности проекта. После активации он пытался перехватить сессии и привилегии администраторов,, которые просматривали зараженные страницы. Получив доступ к учетным записям с высокими правами, скрипт запускал функцию "Special:Nuke" – специальное расширение, предназначенное для того, чтобы модераторы могли быстро удалять большое количество недавно созданного спама или вандализма. Программа использовала этот инструмент в бесконечных циклах, выбирая случайные статьи для уничтожения.
Помимо удаления контента, вредоносный код пытался обеспечить себе выживание в системе на двух уровнях:
- Во-первых, он модифицировал персональные JavaScript-файлы отдельных пользователей, чтобы запускаться каждый раз, когда они заходят на сайт под своим логином.
- Во-вторых, при наличии соответствующих прав у жертвы, червь пытался внести изменения в глобальный файл MediaWiki:Common.js, который загружается для каждого посетителя энциклопедии.
Таким образом, любой администратор, который просто открыл страницу для просмотра, мог стать невольным распространителем вируса.
По данным Bleeping Computer, вредоносный код оставался активным в течение лишь 23 минут. За этот короткий промежуток времени он успел изменить примерно 3996 страниц и повредить персональные настройки 85 пользователей.
Больше всего пострадал сервис Meta-Wiki, где хранится документация и проекты фонда. Некоторые редакторы сравнили этот инцидент с действиями российских групп злоумышленников, которые атаковали вики-проекты несколько лет назад, что указывает на вероятное происхождение кода из прошлых кампаний вандализма.
Сейчас представители Фонда Викимедиа уверяют, что ситуация полностью взята под контроль. Все поврежденные или удаленные данные восстанавливаются, а записи о вредоносных правках были скрыты из истории изменений для безопасности платформы.
Специалисты отдельно подчеркнули, что утечки личной информации пользователей не произошло. Учетная запись, которая стала источником проблемы, заблокирована, а разработчики работают над новыми инструментами защиты, которые помогут избегать случайной активации устаревших скриптов в будущем.