Wikipédia – Um incidente de segurança envolvendo um worm — tipo de código malicioso capaz de se espalhar automaticamente — levou à modificação de milhares de páginas da Wikipédia em questão de minutos. A própria Wikimedia Foundation confirmou o episódio, que ocorreu após a ativação acidental de um script hospedado na versão russa da enciclopédia.
Segundo a organização, o malware permaneceu ativo por 23 minutos e chegou a modificar aproximadamente 3.996 páginas da Meta-Wiki, além de comprometer arquivos de personalização de cerca de 85 contas de editores. O ataque foi contido no mesmo dia, e a fundação afirma que nenhum dado pessoal de usuários foi exposto.
LEIA: Número de ações trabalhistas atinge maior nível desde 2017
Origem do incidente
O problema começou com um script JavaScript hospedado na Wikipédia em língua russa, identificado como , que havia sido carregado pela primeira vez em março de 2024.
Durante mais de um ano e meio, o arquivo permaneceu inativo dentro do sistema. Em segurança da informação, essa estratégia é conhecida como ameaça persistente — quando um código malicioso permanece “dormente”, aguardando condições favoráveis para ser executado.
O gatilho ocorreu quando um funcionário da própria Wikimedia Foundation carregou o script no navegador enquanto realizava uma revisão de segurança de códigos escritos por usuários.
A organização confirmou que ativou o código inadvertidamente durante esse processo, mas não especificou se houve falha de procedimento ou se a conta utilizada estava comprometida.
Como o worm se espalhava
Depois de carregado no navegador de um usuário autenticado, o script explorava uma funcionalidade legítima do software MediaWiki, plataforma que sustenta a Wikipédia e permite a execução de arquivos JavaScript tanto no nível individual das contas quanto no nível global do site.
O worm operava em duas frentes. Na primeira, sobrescrevia o arquivo de personalização da conta infectada, chamado common.js, com um loader — pequeno código cuja função é buscar e carregar automaticamente outro script. Com isso, sempre que o usuário abrisse qualquer página da Wikipédia enquanto estivesse logado, o worm seria executado novamente.
Na segunda frente, se o usuário infectado possuísse privilégios administrativos, o malware também modificava o arquivo global , carregado automaticamente por todos os editores da plataforma.
Esse mecanismo transformava qualquer editor que acessasse uma página da Wikipédia em um novo vetor de propagação, criando um ciclo de infecção em cadeia.
Além de se espalhar, o worm selecionava páginas aleatórias por meio do comando interno e as editava para inserir conteúdo oculto visualmente. O material era escondido com a tag HTML display:none e continha um link para um script hospedado no domínio externo basemetrika.ru, de origem russa.
Contenção e resposta
Após detectar a propagação do código malicioso, engenheiros da Wikimedia desativaram temporariamente as edições em todos os projetos da fundação, incluindo as versões da Wikipédia em diferentes idiomas.
Durante o processo, as equipes reverteram as alterações feitas pelo worm, limparam os arquivos common.js infectados e removeram as referências ao script externo. As versões modificadas das páginas também foram suprimidas dos históricos públicos de edição.
Em comunicado enviado ao site BleepingComputer, a Wikimedia Foundation informou que apenas a Meta-Wiki teve conteúdo alterado ou excluído, e que esse material está sendo restaurado.
A organização também declarou que não há evidências de que a Wikipédia tenha sido alvo de um ataque coordenado externo e afirmou que pretende desenvolver medidas adicionais de segurança para evitar que incidentes semelhantes voltem a ocorrer.
(Com informações de Tecmundo)
(Foto: Reprodução/Freepik/zukku85)
