Wikimedia Foundation mengalami insiden keamanan setelah worm JavaScript yang dapat menyebar sendiri (self-propagating) mulai memodifikasi skrip pengguna dan merusak halaman di Meta-Wiki.
Insiden ini pertama kali dilaporkan oleh editor di forum teknis Wikipedia setelah terdeteksi lonjakan besar pengeditan otomatis yang menambahkan skrip tersembunyi dan vandalisme ke sejumlah halaman Pasted text.
Sebagai langkah pencegahan, insinyur Wikimedia sempat membatasi pengeditan di berbagai proyek sambil melakukan investigasi dan membatalkan perubahan berbahaya Pasted text.
Berawal dari Skrip Uji yang Berbahaya
Berdasarkan pelacakan internal, insiden diduga bermula ketika skrip berbahaya yang dihosting di Wikipedia Rusia dieksekusi dan memodifikasi skrip global JavaScript Wikipedia dengan kode berbahaya Pasted text.
Skrip tersebut tersimpan di halaman User:Ololoshka562/test.js dan pertama kali diunggah pada Maret 2024. Skrip ini diyakini pernah dikaitkan dengan serangan sebelumnya terhadap proyek wiki Pasted text.
Analisis menunjukkan skrip tersebut menyebar dengan menyuntikkan loader JavaScript berbahaya ke dua lokasi:
- User-level persistence: Mengganti
User:<username>/common.jsagar otomatis memuat skrip berbahaya setiap kali pengguna login. - Site-wide persistence: Jika pengguna memiliki hak istimewa cukup tinggi, skrip juga mencoba memodifikasi
MediaWiki:Common.js, yang dijalankan untuk seluruh editor Pasted text.
Karena MediaWiki mengizinkan skrip global dan skrip khusus pengguna untuk memodifikasi antarmuka wiki, worm dapat menyebar melalui sesi login editor yang memiliki izin pengeditan skrip.
Ribuan Halaman Terdampak
Selain menyuntikkan loader ke file common.js, worm juga memodifikasi halaman secara acak dengan memanggil perintah Special:Random, lalu menyisipkan gambar dan loader JavaScript tersembunyi di dalam tag yang tidak terlihat Pasted text.
Analisis menunjukkan sekitar 3.996 halaman telah dimodifikasi dan sekitar 85 pengguna mengalami penggantian file common.js selama insiden berlangsung Pasted text. Jumlah pasti halaman yang dihapus belum diketahui.
Tim Wikimedia kemudian mengembalikan skrip common.js yang terinfeksi dan menekan (suppress) revisi yang dimodifikasi sehingga tidak lagi terlihat dalam riwayat perubahan Pasted text.
Aktif Hanya 23 Menit
Dalam pembaruan resmi, Wikimedia Foundation menyatakan bahwa kode berbahaya tersebut aktif selama 23 menit. Selama periode itu, perubahan dan penghapusan konten hanya terjadi di Meta-Wiki, dan seluruh konten kini sedang dipulihkan Pasted text.
Pihak Wikimedia juga menegaskan tidak ada bukti bahwa Wikipedia sedang berada di bawah serangan eksternal maupun bahwa data pribadi pengguna terekspos Pasted text.
Saat ini, kode yang disuntikkan telah dihapus dan pengeditan telah kembali normal. Wikimedia menyatakan sedang mengembangkan langkah pengamanan tambahan untuk meminimalkan risiko insiden serupa di masa mendatang Pasted text.