Hogyan tört be a veszélyes szkript?
A vizsgálatok szerint az egész egy ártalmatlannak tűnő, tesztelési célból feltöltött szkripttel kezdődött, amely a User:Ololoshka562/test.js néven szerepelt az orosz Wikipédián. Ez a szkript először 2024 márciusában jelent meg, és a szerkesztési előzmények alapján valószínűsíthető, hogy egy Wikimédia-alkalmazott aktiválta, miközben a felhasználói szkriptek működését tesztelte. Egyelőre nem ismert, hogy szándékos támadás történt-e, tesztelés közbeni véletlen hiba állt-e fenn, vagy egy kompromittált felhasználói fiók volt a baleset oka.
A fertőzés terjedése és következményei
A káros szkript kétféle tartóssági mechanizmust alkalmazott: először átírta az adott felhasználó személyes common.js fájlját, hogy az minden böngészéskor automatikusan betöltse a fertőzött kódot, majd – amennyiben a felhasználó rendelkezett rá jogosultsággal – módosította a globális MediaWiki:Common.js fájlt is, amely minden szerkesztőt érintett.
A szkript ráadásul beillesztett egy kép hivatkozását egy véletlenszerű oldalba, illetve láthatatlanul egy újabb fertőző JavaScript-kódot is, amely aztán ugyanezt a ciklust ismételte meg más felhasználókon keresztül.
Becslések szerint nagyjából 3996 oldal módosult, és 85 felhasználó common.js fájlját is átírták. Lényeges, hogy a törölt oldalak pontos száma jelenleg sem ismert.
Helyreállítás és megelőző intézkedések
Ahogy a féreg terjedése világossá vált, a Wikimédia mérnökei ideiglenesen zárolták a szerkesztési funkciókat, miközben helyreállították a sérült oldalakat, törölték a káros kódrészleteket, illetve visszaállították a módosított felhasználói fájlokat is. Ezek az oldalak immár „elrejtett” státuszba kerültek, így a változtatások nem látszanak a nyilvános előzményekben sem.
Mindazonáltal a támadás végül csak 23 percig volt aktív, és kizárólag a Meta-Wikit érintette. Tartós károkat nem okozott, a törölt tartalmat visszaállították, a szerkesztés pedig ismét elérhető. Az Alapítvány biztosította, hogy nem történt felhasználói adatszivárgás, és nem volt széles körű, célzott támadás.
Az esetet követően további védelmi intézkedések bevezetését ígérték annak érdekében, hogy hasonló biztonsági incidens ne fordulhasson elő a jövőben.
