Wikipedia bucata da un worm JavaScript: 4.000 pagine infettate in 23 minuti

Il worm che dormiva da due anni

Il 5 marzo 2026, gli ingegneri della Wikimedia Foundation stavano facendo quello che qualsiasi team di sicurezza serio dovrebbe fare: una revisione del codice caricato dagli utenti sulla piattaforma. Peccato che nel farlo abbiano inavvertitamente attivato un codice malevolo che sonnecchiava indisturbato dal marzo 2024, piazzato nello script User:Ololoshka562/test.js sulla Wikipedia in lingua russa.

Da quel momento è partito il caos. Il worm, una volta sveglio, ha fatto esattamente quello per cui era stato progettato: auto-propagarsi. Ha modificato gli script globali common.js di Wikipedia, trasformando ogni editor che caricava una pagina infetta in un vettore inconsapevole dell'infezione. In pratica, il browser di ogni utente autenticato diventava un soldatino che eseguiva ordini, modificando altre pagine e infettando altri script.

L'anatomia di un attacco elegante

Il meccanismo è tanto semplice quanto devastante. Wikipedia consente agli utenti registrati di caricare script JavaScript personalizzati che girano nel browser con i pieni privilegi della sessione autenticata. Un editor scrive codice, lo carica, e quel codice può fare praticamente tutto ciò che l'utente può fare manualmente: modificare pagine, cancellare contenuti, alterare altri script.

Il worm sfruttava questa architettura con una catena di attacco a tre passaggi:

1. Lo script malevolo, una volta attivato, modificava il common.js globale — lo script condiviso che viene caricato da tutti gli utenti
2. Chiunque visitasse una pagina con lo script infetto eseguiva il worm nel proprio browser, che usava la sessione autenticata per modificare altre pagine
3. Se l'utente infetto aveva privilegi elevati (admin, steward), il worm poteva modificare script globali su altri progetti Wikimedia, moltiplicando la propagazione