Source: BleepingComputer (Lawrence Abrams, 5 mars 2026). La Wikimedia Foundation a fait face à un incident de sécurité impliquant un ver JavaScript auto‑propagatif qui a modifié des scripts utilisateurs et vandalisé des pages sur Meta‑Wiki, entraînant une restriction temporaire des éditions puis un retour à la normale une fois le code malicieux supprimé. 🐛

Le ver aurait été déclenché après l’exécution d’un script malveillant hébergé sur la Wikipédia en russe (User:Ololoshka562/test.js, mis en ligne en mars 2024). Selon l’historique, il a été exécuté pour la première fois par un compte employé Wikimedia lors de tests de fonctionnalités de scripts utilisateurs (intention inconnue). Le code injectait un « loader » dans les fichiers User:/common.js (persistance utilisateur) et, si les droits le permettaient, dans MediaWiki:Common.js (persistance globale), assurant une auto‑propagation à chaque chargement du script global. ⚙️

Le script réalisait aussi du vandalisme en éditant des pages aléatoires (via Special:Random) pour y insérer une image et un chargeur JavaScript caché dans le contenu. D’après BleepingComputer, environ 3 996 pages ont été modifiées et ~85 utilisateurs ont vu leur common.js remplacé. Les ingénieurs ont restreint temporairement l’édition, reverté les modifications malveillantes, et rétabli de nombreux common.js; certaines pages modifiées ont été supprimées des historiques (suppressed). 🚫

La Wikimedia Foundation indique que le code n’a été actif que 23 minutes, qu’il a modifié et supprimé du contenu uniquement sur Meta‑Wiki, désormais restauré, et qu’il n’y a aucune preuve d’attaque en cours ni de compromission de données personnelles. Des mesures de sécurité additionnelles sont en cours de déploiement, avec des mises à jour publiées sur le journal public d’incident. 🛠️

• IOCs observables:

  • Domaine/URL du chargeur: //basemetrika.ru/s/e41
  • Page script: User:Ololoshka562/test.js (archivé)
  • Élément inséré: [[File:Woodpecker10.jpg|5000px]] et un loader JS caché dans un .

• TTPs (techniques, tactiques et procédures):

  • Auto‑propagation via modification de MediaWiki:Common.js et User:/common.js.
  • Persistance utilisateur et site‑wide par injection de loaders JS.
  • Abus de session/privilèges du navigateur de l’éditeur connecté pour effectuer des éditions.
  • Vandalisme de pages aléatoires via Special:Random avec injection d’un loader caché.

Type: article de presse spécialisé visant à documenter un incident, ses mécanismes de propagation, son impact et la réponse officielle.

🔗 Source originale : https://www.bleepingcomputer.com/news/security/wikipedia-hit-by-self-propagating-javascript-worm-that-vandalized-pages/