Поделиться
Самораспространяющийся JavaScript-червь изуродовал «Википедию»
«Википедия» столкнулась с неприятным киберпреступным эпизодом, в ИТ-инфраструктуре проектов обнаружился самораспространяющийся JavaScript-червь. Он начал модифицировать пользовательские скрипты и портить страницы на Meta-Wiki. Программистам фонда пришлось срочно ограничить редактирование, чтобы остановить лавину автоматических правок в статьи.
Вирус в ИТ-проекте
«Википедию» атаковал портящий страницы JavaScript-червь, пишет BleepingComputer. ИТ-инцидент, по мнению ИТ-разработчиков, начался после выполнения вредоносного скрипта, размещенного в русской версии онлайн-энциклопедии, что привело к модификации глобального скрипта.
5 марта 2026 г. у Wikimedia Foundation произошел серьезный ИТ-инцидент в области кибербезопасности: по проектам начал распространяться самораспространяющийся JavaScript-червь, который вносил вредоносные изменения в пользовательские скрипты и страницы. Из-за этого инженерам пришлось в срочном порядке временно переводить «Википедию» в режим только чтение, отключать возможность редактирования, массово откатывать вандальные правки от трояна.
«Википедия» — это самая крупная и самая популярная в мире онлайн-энциклопедия. По статистике 2023 г., «Википедия» содержит 61 млн статей на 334 языках. На русском языке создано почти 2 млн страниц. Каждый день в «Википедию» заходят 32,8 млн уникальных пользователей со всего мира, из них 1,6 млн — россияне.
По информации Wikimedia Foundation, вредоносный код затронул исключительно Meta-Wiki — координационную вики для проектов и сообщества. Основные языковые разделы «Википедии» (включая русскую, английскую и другие) не пострадали — там ничего не менялось и не удалялось.
Wikimedia Foundation — некоммерческая благотворительная организация, которая поддерживает ИТ-инфраструктуру для работы ряда многоязычных краудсорсинговых вики-проектов, включая «Википедию». Добровольные пожертвования для Wikimedia Foundation являются для нее единственным источником дохода в 2026 г.
Анализ кибератаки
По доступным данным из Phabricator, вредоносное программное обеспечение (ПО) активировался после случайного или тестового выполнения старого вредоносного скрипта, который лежал с 2024 г. в русскоязычной части «Википедии». После запуска он пытался прописать вредоносный загрузчик и в пользовательский common.js, и в глобальный MediaWiki:Common.js, чтобы цепочка распространялась дальше уже сама.
Схема была следующей, один зараженный скрипт подхватывался в браузере редактора, а дальше пытался переписать JS-настройки этого пользователя и общий скрипт сайта при наличии нужных прав. После этого любой, кто открывал такой общий скрипт, рисковал снова запустить ту же цепочку. В некоторых случаях в правках к страницам появлялась фраза на русском «Закрываем проект». Параллельно вирус еще и правил случайные страницы, добавляя туда скрытый загрузчик.
Восстановление ИТ-инфраструктуры
Активность длилась всего около 23 минут, после чего все было восстановлено. По оценке BleepingComputer, изменены были примерно 3996 страниц, а у около 85 пользователей оказались подменены файлы common.js.
Представители Wikimedia Foundation после ИТ-инцидента заявили, за время активности вирус успел менять и удалять контент на Meta-Wiki, но постоянного ущерба нет. 6 марта 2026 г. материалы онлайн-энциклопедии продолжают восстанавливать, а также идет анализ баз данных на возможную утечку персональных данных.
Короткая ссылка
