Wikipedia getroffen door JavaScript-worm die pagina’s vandaliseerde

Redacteurs merkten het incident voor het eerst op in de technische sectie van Wikipedia’s Village Pump. Daar meldden gebruikers dat er plots een groot aantal automatische bewerkingen opdook waarbij verborgen scripts en vandalisme aan willekeurige pagina’s werden toegevoegd. Ingenieurs van Wikimedia grepen snel in en beperkten tijdelijk het bewerken van pagina’s op verschillende projecten. In die periode onderzochten ze de aanval en begonnen ze de aangebrachte wijzigingen terug te draaien.

Kwaadaardig script

Volgens de bugtracker van Wikimedia, Phabricator, begon het incident nadat een kwaadaardig script op de Russische Wikipedia werd uitgevoerd. Daardoor werd een globaal JavaScript-bestand op Wikipedia aangepast met schadelijke code. Het script stond opgeslagen onder User:Ololoshka562/test.js, een bestand dat al in maart 2024 werd geüpload. Het zou gelinkt zijn aan scripts die eerder al bij aanvallen op wiki-projecten zijn gebruikt.

Uit analyse van de bewerkingsgeschiedenis blijkt dat het script eerder op de dag werd uitgevoerd via een account van een Wikimedia-medewerker die gebruikersscripts aan het testen was. Het is voorlopig onduidelijk of het script bewust werd uitgevoerd, per ongeluk werd geladen tijdens tests, of dat het betrokken account mogelijk gecompromitteerd was.

Worm die zichzelf verspreidt

Analyse van het script toont dat het zichzelf kon verspreiden door kwaadaardige JavaScript-loaders toe te voegen aan zowel een persoonlijk scriptbestand als aan een wereldwijd scriptbestand dat door veel gebruikers wordt geladen. Het gaat om twee bekende scriptlocaties binnen de wiki-infrastructuur van MediaWiki. Het eerste is MediaWiki:Common.js, een globaal script dat voor alle gebruikers kan worden uitgevoerd, het tweede User:/common.js, een persoonlijk scriptbestand. Wanneer een ingelogde editor het kwaadaardige script laadde, probeerde het twee wijzigingen uit te voeren met de rechten van die gebruiker.

Het script probeerde User:/common.js te overschrijven met een loader die automatisch het test.js-script zou laden telkens wanneer de gebruiker Wikipedia bezoekt terwijl hij of zij ingelogd is. Ook op siteniveau was er een persistente infectie. Als de gebruiker voldoende rechten had, probeerde het script ook MediaWiki:Common.js aan te passen. In dat geval zou het script automatisch worden uitgevoerd bij alle editors die dat globale script laden.

Als dat globale script effectief werd aangepast, kon de worm zich verder verspreiden. Iedereen die het script laadde, voerde automatisch opnieuw de loader uit, waarna hun eigen common.js-bestand eveneens werd aangepast.

Automatisch vandalisme

Het script bevatte daarnaast code om willekeurige pagina’s te wijzigen. Dat gebeurde via de wiki-opdracht Special:Random, die een willekeurige pagina opent. Vervolgens werd een afbeelding toegevoegd samen met een verborgen JavaScript-loader.

Volgens analyse van BleepingComputer werden ongeveer 3.996 pagina’s aangepast tijdens het incident. Daarnaast zouden ongeveer 85 gebruikersaccounts hun common.js-bestand overschreven hebben gekregen. Het is niet duidelijk hoeveel pagina’s uiteindelijk werden verwijderd.

Snel gereageerd

Terwijl de worm zich verspreidde, beperkten Wikimedia-ingenieurs tijdelijk de mogelijkheid om pagina’s te bewerken. Tegelijk werden de kwaadaardige wijzigingen teruggedraaid en alle verwijzingen naar de geïnjecteerde scripts verwijderd. Tijdens de opruimactie zette het personeel van de Wikimedia Foundation ook de common.js-bestanden van talrijke gebruikers terug naar een eerdere versie. De gewijzigde pagina’s zijn intussen ‘gesupprimeerd’, waardoor ze niet langer zichtbaar zijn in de bewerkingsgeschiedenis.

Op het moment van schrijven is de schadelijke code verwijderd en kunnen gebruikers opnieuw pagina’s bewerken.

Code slechts kort actief

Volgens een verklaring van de Wikimedia Foundation was de schadelijke code uiteindelijk slechts 23 minuten actief. In die periode werden enkel inhoud en pagina’s op Meta-Wiki aangepast of verwijderd. Die content wordt intussen opnieuw hersteld.

De organisatie zegt dat er geen aanwijzingen zijn dat Wikipedia doelbewust werd aangevallen of dat er persoonlijke gegevens zijn buitgemaakt. Wel werkt de stichting aan extra beveiligingsmaatregelen om gelijkaardige incidenten in de toekomst te voorkomen. Updates over het onderzoek verschijnen in het openbare incidentlogboek van de organisatie.

• Lees ook: Phishing-campagne misbruikt valse Google-beveiligingscheck: laat je niet vangen