Un incident inhabituel a brièvement perturbé l’écosystème Wikipédia. Un ver JavaScript auto-propagateur s’est diffusé via les scripts utilisateurs de la plateforme et a modifié des milliers de pages en quelques minutes.
L’incident n’aura duré qu’une vingtaine de minutes, mais il a suffi à déclencher une vague d’éditions automatiques sur plusieurs projets Wiki. Dans la journée du 5 mars, un script JavaScript malveillant s’est propagé à travers l’infrastructure de scripts personnalisés utilisée par les contributeurs et contributrices de Wikipédia. En exploitant les droits des comptes connectés, le code s’est répliqué dans d’autres scripts et a modifié près de 4 000 pages avant d’être stoppé.
Un ver JavaScript propagé via les scripts utilisateurs
L’origine du problème remonte à un script JavaScript malveillant déjà hébergé sur la version russe de Wikipédia, stocké à l’adresse User:Ololoshka562/test.js depuis mars 2024. Selon BleepingComputer, ce code serait par ailleurs possiblement associé à des scripts déjà utilisés lors d’attaques précédentes visant des projets Wiki.
D’après l’analyse des historiques d’édition, il aurait été exécuté pour la première fois hier, le 5 mars, par un compte employé de la Wikimedia Foundation, dans le cadre de tests internes. Les circonstances exactes de cette exécution restent toutefois incertaines, et l’on ignore si le script a été lancé volontairement, chargé accidentellement dans l’interface ou déclenché via un compte potentiellement compromis.
Une fois exécuté dans le navigateur du patient zéro, le script a injecté un chargeur JavaScript dans deux fichiers distincts. Le premier concernait User:<username>/common.js, un script personnel que les contributeurs et contributrices peuvent utiliser pour modifier ou automatiser certaines fonctions de l’interface d’édition. Le second visait MediaWiki:Common.js, un fichier partagé chargé par l’interface du site et exécuté par l’ensemble des utilisateurs et utilisatrices afin d’appliquer certaines modifications ou outils communs.
Une méthode qui a permis au code malveillant de se répliquer automatiquement, chaque utilisateur exposé au script risquant ainsi de voir son propre fichier common.js modifié et, si les permissions du compte le permettaient, de propager à son tour le ver via le script partagé de la plateforme.
Près de 4 000 pages modifiées avant l’intervention de Wikimedia
En parallèle de sa propagation, le script a également procédé à des modifications automatisées sur des pages de la plateforme. Pour ce faire, il s’est appuyé sur la commande interne Special:Random, qui permet d’ouvrir des pages au hasard, dans lesquelles le script a inséré une image surdimensionnée ainsi qu’un nouveau chargeur JavaScript destiné à récupérer et à exécuter le code malveillant depuis un serveur externe, multipliant ainsi les points de diffusion du ver.
Selon l’analyse des historiques d’édition menée par BleepingComputer, environ 3 996 pages ont été modifiées et près de 85 comptes ont vu leur fichier common.js altéré pendant l’incident, mais l’on ignore encore le nombre de pages supprimées durant l’opération. Les équipes de Wikimedia ont temporairement suspendu l’édition sur les différents projets afin de stopper la propagation, avant de supprimer les scripts injectés et de rétablir les fichiers utilisateurs affectés.
Dans une déclaration transmise à nos confrères de BleepingComputer, la fondation a finalement confirmé que le code n’était resté actif qu’environ 23 minutes, les modifications ayant principalement touché Meta-Wiki, un site utilisé pour la coordination des projets Wikimedia. L’organisation a par ailleurs précisé qu’aucune donnée personnelle n’avait été compromise et qu’elle travaillait désormais à renforcer ses procédures afin d’éviter qu’un script dormant puisse être activé de cette manière à l’avenir.
Source : BleepingComputer
