Wikipedia es golpeada por un gusano JavaScript de autopropagación

Iniciado por AXCESS, Marzo 09, 2026, 01:52:15 AM

Tema anterior - Siguiente tema

0 Miembros y 2 Visitantes están viendo este tema.

Imprimir
Ir Abajo Páginas1
Acciones del Usuario
Marzo 09, 2026, 01:52:15 AM


La Fundación Wikimedia sufrió un incidente de seguridad después de que un gusano JavaScript de autopropagación comenzara a modificar los scripts de usuario y a vandalizar páginas de Meta-Wiki.

Los editores informaron por primera vez del incidente en el *Village Pump* (Café técnico) de Wikipedia, donde los usuarios notaron un gran número de ediciones automatizadas que añadían scripts ocultos y actos de vandalismo a páginas aleatorias.

Los ingenieros de Wikimedia restringieron temporalmente la edición en todos los proyectos mientras investigaban el ataque y comenzaban a revertir los cambios.

El gusano JavaScript

Según el sistema de seguimiento de incidencias Phabricator de Wikimedia, parece que el incidente comenzó después de que se ejecutara un script malicioso alojado en la Wikipedia en ruso, lo que provocó que un script JavaScript global de Wikipedia fuera modificado con código malicioso.

El script malicioso estaba almacenado en User:Ololoshka562/test.js; fue subido por primera vez en marzo de 2024 y, supuestamente, está asociado con scripts utilizados en ataques anteriores contra proyectos wiki.

Basándose en los historiales de edición revisados, se cree que el script fue ejecutado por primera vez  recientemente por una cuenta de un empleado de Wikimedia, mientras este realizaba pruebas de la funcionalidad de los scripts de usuario. Actualmente se desconoce si el script se ejecutó de forma intencionada, si se cargó accidentalmente durante las pruebas o si se activó a través de una cuenta comprometida.

El análisis realizado del script archivado test.js revela que este se autopropaga inyectando cargadores JavaScript maliciosos tanto en el archivo common.js del usuario que ha iniciado sesión, como en el archivo global de Wikipedia MediaWiki:Common.js, el cual es utilizado por todos los usuarios.

MediaWiki permite la existencia de archivos JavaScript tanto globales como específicos para cada usuario —tales como MediaWiki:Common.js y User:<nombre de usuario>/common.js—, los cuales se ejecutan en los navegadores de los editores para personalizar la interfaz de la wiki.

Una vez que el script inicial test.js se cargó en el navegador de un editor que había iniciado sesión, este intentó modificar dos scripts utilizando la sesión y los privilegios de dicho editor:

Persistencia a nivel de usuario: intentó sobrescribir el archivo User:<nombre de usuario>/common.js con un cargador que ejecutaría automáticamente el script test.js cada vez que ese usuario navegara por la wiki con la sesión iniciada.

Persistencia a nivel de sitio: si el usuario disponía de los privilegios adecuados, el script también editaba el archivo global MediaWiki:Common.js, de modo que este se ejecutara para todos los editores que utilizaran dicho script global.

Código para inyectar un gusano JavaScript de autopropagación en el script MediaWiki:Common.js


Si el script global se modificara con éxito, cualquiera que lo cargara ejecutaría automáticamente el cargador, el cual repetiría entonces los mismos pasos, incluida la infección de su propio common.js, tal como se muestra a continuación.

El script common.js infectado de un usuario de Wikimedia


El script también incluye la funcionalidad de editar una página aleatoria, solicitando una mediante el comando wiki Special:Random, para luego editarla e insertar una imagen y el siguiente cargador JavaScript oculto.

You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login

Según el análisis de BleepingComputer, se modificaron aproximadamente 3.996 páginas y a alrededor de 85 usuarios se les reemplazaron sus archivos common.js durante el incidente de seguridad. Se desconoce cuántas páginas fueron eliminadas.

Páginas modificadas por un gusano de JavaScript


A medida que el gusano se propagaba, los ingenieros restringieron temporalmente la edición en todos los proyectos mientras revertían los cambios maliciosos y eliminaban las referencias a los scripts inyectados.

Durante el proceso de limpieza, miembros del personal de la Fundación Wikimedia también revirtieron el archivo common.js de numerosos usuarios en toda la plataforma. Estas páginas modificadas han sido ahora "suprimidas" y ya no son visibles en los historiales de cambios.

En el momento de redactar este texto, el código inyectado ha sido eliminado y la edición vuelve a ser posible.

Sin embargo, Wikimedia aún no ha publicado un informe detallado posterior al incidente que explique exactamente cómo se ejecutó el script latente o qué tan ampliamente se propagó el gusano antes de ser contenido.

Actualización: La Fundación Wikimedia compartió la siguiente declaración, afirmando que el código estuvo activo solo durante 23 minutos, tiempo durante el cual únicamente modificó y eliminó contenido en Meta-Wiki, el cual ya ha sido restaurado.

"Hoy temprano, el personal de la Fundación Wikimedia estaba llevando a cabo una revisión de seguridad del código creado por usuarios en Wikipedia. Durante dicha revisión, activamos un código latente que fue rápidamente identificado como malicioso. Como medida preventiva, deshabilitamos temporalmente la edición en Wikipedia y otros proyectos de Wikimedia mientras eliminábamos el código malicioso y confirmábamos que el sitio web fuera seguro para la actividad de los usuarios. El problema de seguridad que provocó esta interrupción ya ha sido resuelto.

El código estuvo activo durante un periodo de 23 minutos. Durante ese tiempo, modificó y eliminó contenido en Meta-Wiki —el cual se está restaurando actualmente—, pero no causó daños permanentes. No tenemos pruebas de que Wikipedia haya sido objeto de un ataque, ni de que se haya producido una vulneración de datos personales como parte de este incidente. Estamos desarrollando medidas de seguridad adicionales para minimizar el riesgo de que este tipo de incidentes vuelva a ocurrir. Se seguirán publicando actualizaciones a través del registro público de incidentes de la Fundación".

Fuente:
BleepingComputer
You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login


You are not allowed to view links. You are not allowed to view links. Register or Login or You are not allowed to view links. Register or Login
Imprimir
Ir Arriba Páginas1
Acciones del Usuario