维基媒体基金会今日遭遇安全事件,一款自传播 JavaScript 蠕虫篡改用户脚本并破坏 Meta-Wiki 页面。
维基编辑首先在 “村舍水泵(技术版)” 板块上报该事件,用户发现大量自动化编辑行为向随机页面植入隐藏脚本并实施破坏。
维基媒体工程师暂时限制全平台编辑功能,同时调查攻击并回滚篡改内容。
JavaScript 蠕虫细节
据维基媒体 Phabricator 问题追踪系统显示,事件源于俄文维基上的恶意脚本被执行,导致维基百科全局 JavaScript 脚本被植入恶意代码。
该恶意脚本存储于 User:Ololoshka562/test.js[存档],最早上传于 2024 年 3 月,据称与此前维基项目攻击所使用的脚本相关。
BleepingComputer 分析编辑记录发现,该脚本今日早些时候首次被维基媒体员工账号执行,当时该账号正在测试用户脚本功能。目前尚不清楚脚本是被故意执行、测试中意外加载,还是因账号被盗触发。
BleepingComputer 分析存档的 test.js 脚本发现,其通过向登录用户的 common.js 和维基百科全局 MediaWiki:Common.js(所有用户共用) 注入恶意 JavaScript 加载器实现自传播。
MediaWiki 支持全局和用户专属 JavaScript 文件(如 MediaWiki:Common.js、User:<用户名>/common.js),这些文件在编辑者浏览器中执行,用于自定义维基界面。
当 test.js 脚本在登录编辑者的浏览器中加载后,会利用该编辑者的会话和权限尝试修改两个脚本:
· 用户级持久化:覆盖 User:<用户名>/common.js,植入加载器 —— 该用户登录浏览维基时会自动加载 test.js 脚本。
· 全站级持久化:若用户拥有对应权限,脚本会编辑全局 MediaWiki:Common.js,使所有使用该全局脚本的编辑者都执行恶意代码。
向 MediaWiki:Common.js 注入自传播 JavaScript 蠕虫的代码(来源:BleepingComputer)
若全局脚本被成功篡改,所有加载该脚本的用户都会自动执行加载器,进而重复相同步骤(包括感染自身 common.js)。
遭感染的维基媒体用户 common.js 脚本(来源:BleepingComputer)
遭感染的维基媒体用户 common.js 脚本(来源:BleepingComputer)该脚本还能通过 Special:Random 维基指令获取随机页面,编辑页面插入图片及以下隐藏 JavaScript 加载器:
BleepingComputer 分析显示,事件中约 3996 个页面被篡改,85 名用户的 common.js 文件被替换,被删除的页面数量尚未可知。
遭 JavaScript 蠕虫篡改的页面(来源:BleepingComputer)
遭 JavaScript 蠕虫篡改的页面(来源:BleepingComputer)随着蠕虫扩散,工程师暂时限制全平台编辑功能,同时回滚恶意修改、移除注入脚本的引用。清理过程中,维基媒体基金会员工还回滚了平台上大量用户的 common.js 文件。被篡改的页面现已被 “屏蔽”,不再显示在修改记录中。
截至发稿,注入代码已被清除,编辑功能恢复正常。但维基媒体尚未发布详细事后报告,说明休眠脚本被执行的具体原因,以及蠕虫被控制前的扩散范围。
更新内容:维基媒体基金会向 BleepingComputer 发布声明称,恶意代码仅活跃 23 分钟,期间仅篡改 / 删除 Meta-Wiki 内容(现已恢复)。
声明全文:“今日早些时候,维基媒体基金会员工正对维基百科上用户编写的代码进行安全审查。审查过程中激活了一段休眠代码,随后发现该代码具有恶意性质。作为预防措施,我们暂时禁用维基百科及其他维基媒体项目的编辑功能,同时清除恶意代码并确认平台可安全使用。此次故障的安全问题现已解决。
恶意代码仅活跃 23 分钟,期间篡改 / 删除 Meta-Wiki 内容(现已恢复),未造成永久性损害。无证据表明维基百科遭蓄意攻击,也无个人信息泄露。我们正制定额外安全措施,降低同类事件再次发生的风险。相关更新将通过基金会公开事件日志持续发布。”
消息来源:bleepingcomputer.com;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
