A Wikimedia Foundation confirmou ter sofrido um incidente de segurança causado por um worm, tipo de código malicioso que se espalha de forma autônoma.
O malware ficou ativo por 23 minutos e chegou a modificar aproximadamente 3.996 páginas da Meta-Wiki, além de comprometer os arquivos de personalização de cerca de 85 contas de editores. O ataque foi contido no mesmo dia e a organização afirma que nenhum dado pessoal de usuários foi exposto.
O que aconteceu
O incidente teve origem em um script JavaScript hospedado na Wikipédia em língua russa, identificado como [User:Ololoshka562/test.js], e que havia sido carregado pela primeira vez em março de 2024.
Durante pouco mais de um ano e meio, o arquivo permaneceu inativo no sistema, uma estratégia conhecida em segurança da informação como ameaça persistente, em que o código aguarda condições favoráveis para ser executado.
O gatilho ocorreu quando um funcionário da própria Wikimedia Foundation carregou o script no navegador durante uma revisão de segurança de códigos escritos por usuários.
A organização confirmou que ativou o código “dormente” inadvertidamente durante esse processo, sem especificar se o erro foi de procedimento ou se a conta estava comprometida.
Como o worm funcionava
Ao ser carregado no navegador de um usuário autenticado, o script explorava uma funcionalidade legítima da plataforma MediaWiki. Esse software sustenta a Wikipédia e permite a execução de arquivos JavaScript, tanto no nível individual de cada conta quanto no nível global do site.
O worm agia em duas frentes simultâneas. Na primeira, sobrescrevia o arquivo de personalização da conta infectada, chamado common.js, com um loader. Trata-se de um pequeno código cuja única função é buscar e carregar outro script automaticamente. Isso garantia que, toda vez que aquele usuário abrisse qualquer página da Wikipédia enquanto logado, o worm seria executado novamente.
Na segunda frente, caso o usuário infectado tivesse privilégios administrativos, o worm também modificava o arquivo global [MediaWiki:Common.js], carregado automaticamente por todos os editores do site.
O que transformava qualquer editor que abrisse uma página da Wikipédia em um novo vetor de propagação, criando um ciclo de infecção em cadeia.
Além de se propagar, o worm selecionava páginas aleatórias por meio do comando interno [Special:Random] e as editava para inserir conteúdo oculto visualmente, usando a tag HTML display:none, contendo um link para um script hospedado no domínio externo basemetrika.ru, de origem russa.
A resposta da Wikimedia
Ao detectar a propagação, os engenheiros da Wikimedia desativaram temporariamente as edições em todos os projetos da fundação, incluindo a Wikipédia em diversos idiomas, enquanto revertiam as alterações maliciosas, limpavam os arquivos common.js infectados e removiam as referências ao script externo. As versões modificadas das páginas foram suprimidas dos históricos públicos de edição.
Em comunicado enviado ao BleepingComputer, a Wikimedia Foundation afirmou que a Meta-Wiki foi o único projeto com conteúdo alterado ou excluído, e que esse conteúdo está sendo restaurado.
A organização também informou que não há evidências de que a Wikipédia esteve sob ataque coordenado externo, e que a fundação desenvolverá medidas de segurança adicionais para evitar que incidentes semelhantes se repitam.
“O código esteve ativo por um período de 23 minutos. Durante esse tempo, ele alterou e excluiu conteúdo na Meta-Wiki — que agora está sendo restaurado — mas não causou danos permanentes. Não temos evidências de que a Wikipédia estava sob ataque ou de que informações pessoais foram violadas como parte deste incidente. Estamos desenvolvendo medidas de segurança adicionais para minimizar o risco de que esse tipo de incidente ocorra novamente. As atualizações continuam disponíveis no registro público de incidentes da Fundação”, afirmou a empresa em comunicado.
Acompanhe o TecMundo nas redes sociais. Para mais notícias de segurança e tecnologia, inscreva-se em nossa newsletter e canal do YouTube.