Na última quinta-feira (5), a Fundação Wikimedia enfrentou um incidente crítico de cibersegurança que comprometeu a integridade da Wikipédia. Um worm JavaScript que se autopropaga começou a modificar scripts de usuários e a vandalizar páginas na enciclopédia livre, forçando os engenheiros da Wikimedia a restringir temporariamente a edição em projetos durante a investigação e reversão das modificações.
Entendendo o Ataque do Worm JavaScript
O incidente teve início na página Village Pump (technical), onde foram registradas edições automatizadas adicionando scripts escondidos e promovendo vandalismo aleatório. O monitor de problemas Phabricator identificou o problema após o surgimento de um script malicioso na wiki russa, que, quando executado, modificou o JavaScript global da enciclopédia para adicionar código malicioso.
O trecho malicioso estava armazenado no usuário User:Ololoshka562/test.js, que havia sido criado em março de 2024 e estava relacionado a ataques anteriores. Especialistas do site BleepingComputer descobriram que o script foi executado pela primeira vez por uma conta de funcionário da Wikimedia durante testes de funcionalidade de script de usuário.
Mecanismo de Propagação do Worm
A auto-propagação do worm ocorreu através da injeção de loaders JavaScript maliciosos em contas logadas de usuários, especificamente nos arquivos common.js e no arquivo global da Wikipédia MediaWiki:Common.js, utilizado por todos os usuários. Uma vez carregado no navegador de um editor, o test.js tentou modificar dois scripts para ganhar persistência tanto a nível de usuário quanto do site inteiro.
Com a modificação bem-sucedida, o script global da enciclopédia foi alterado, fazendo com que qualquer pessoa que carregasse uma página executasse o loader automaticamente, repetindo as etapas anteriores e infectando outros locais. O script também possuía funcionalidade para requisitar alterações aleatórias, inserindo imagens e loaders JavaScripts escondidos.
Impacto e Resposta da Wikimedia
Cerca de 3.996 páginas foram modificadas, e aproximadamente 85 usuários tiveram seus arquivos common.js alterados durante o incidente. Segundo comunicado da Wikimedia, o código ficou ativo por apenas 23 minutos, modificando e deletando conteúdo apenas na Meta-Wiki, que foi restaurada desde então.
A Fundação informou que nenhuma informação pessoal foi vazada e que não houve ataque coordenado, apenas um incidente envolvendo código furtivo nos arquivos internos da enciclopédia. Os engenheiros estão desenvolvendo medidas de segurança adicionais para minimizar incidentes do tipo no futuro.
Lições e Prevenção
Este incidente destaca a importância crítica de protocolos de segurança robustos, especialmente em plataformas colaborativas de grande escala como a Wikipédia. A rápida resposta da Wikimedia limitou os danos, mas o evento serve como alerta para todas as organizações que dependem de sistemas colaborativos e código aberto.
Para quem deseja saber mais sobre o incidente, o diário de incidentes da Wikimedia está disponível para consulta pública, demonstrando transparência no tratamento de questões de segurança.