A Wikimedia Foundation confirmou que sofreu um incidente de segurança envolvendo um worm — um tipo de malware que se propaga automaticamente entre sistemas.
O código malicioso ficou ativo por cerca de 23 minutos, período suficiente para modificar aproximadamente 3.996 páginas da Meta-Wiki e comprometer arquivos de personalização de 85 contas de editores. Segundo a fundação, o ataque foi rapidamente contido e nenhum dado pessoal de usuários foi exposto.
Como o incidente começou
A origem do problema foi um script JavaScript hospedado na versão russa da MediaWiki, identificado como User:Ololoshka562/test.js. O arquivo havia sido carregado originalmente em março de 2024.
Curiosamente, o código permaneceu inativo por mais de um ano e meio. Em segurança da informação, esse tipo de estratégia é conhecido como ameaça persistente: o malware permanece “adormecido” até que alguma condição específica o ative.
O gatilho ocorreu quando um funcionário da própria fundação abriu o script no navegador durante uma revisão de segurança de códigos criados por usuários. A ação acabou executando o código malicioso sem intenção.
A organização não informou se houve falha de procedimento ou possível comprometimento da conta envolvida.
Como o worm se espalhava
Quando carregado por um usuário autenticado, o script explorava recursos legítimos da plataforma que permite a execução de JavaScript dentro da Wikipédia.
O worm atuava em duas etapas.
Primeiro, ele sobrescrevia o arquivo de personalização da conta infectada, chamado common.js, inserindo um pequeno loader. Esse tipo de código serve apenas para baixar e executar outro script automaticamente. Assim, sempre que o usuário logado abrisse qualquer página da Wikipédia, o malware era executado novamente.
Se a conta comprometida tivesse privilégios administrativos, o worm também modificava o arquivo global MediaWiki:Common.js, que é carregado automaticamente para todos os editores do site. Isso transformava qualquer pessoa que abrisse uma página em um novo vetor de propagação, criando um efeito em cadeia.
Além disso, o malware editava páginas aleatórias usando o comando interno Special:Random, inserindo conteúdo invisível com a tag HTML display:none. Dentro desse conteúdo havia links para um script hospedado no domínio externo basemetrika.ru, de origem russa.
Resposta rápida da Wikimedia
Ao detectar o comportamento anômalo, engenheiros da fundação tomaram uma medida radical: desativaram temporariamente as edições em todos os projetos da organização, incluindo a Wikipedia em diferentes idiomas.
Durante esse período, as equipes reverteram alterações maliciosas, limparam os arquivos common.js comprometidos e removeram referências ao script externo. As versões contaminadas das páginas também foram retiradas dos históricos públicos.
Segundo a fundação, apenas a Meta-Wiki teve conteúdo alterado ou excluído, e todo o material afetado está sendo restaurado.
A organização afirma que não há evidências de um ataque coordenado externo nem sinais de vazamento de dados pessoais. Mesmo assim, novas medidas de segurança estão sendo desenvolvidas para reduzir o risco de incidentes semelhantes no futuro.
Malware em ambientes colaborativos é uma criatura curiosa do ecossistema digital. Sistemas como a Wikipédia dependem de confiança e abertura — justamente as características que também podem virar portas de entrada para código malicioso. Segurança nesse tipo de plataforma é um jogo constante entre liberdade para editar e mecanismos inteligentes para evitar que um simples script vire um pequeno caos global.
