维基百科遭JavaScript蠕虫攻击，数千页面被恶意篡改

刘绪刚

IT之家 3 月 9 日消息，据安全媒体 Bleeping Computer 报道，维基媒体基金会（Wikimedia Foundation）披露旗下维基百科近期遭遇网络攻击事件，多个百科页面遭到一种具备自我传播能力的 JavaScript 蠕虫入侵，为防止攻击蔓延，开发团队暂时限制了部分编辑功能，并紧急恢复受影响的页面内容。

据报道，本次攻击事件疑似是维基媒体基金会员工误触发了一段早前被黑客存放在百科某个页面中的恶意脚本所致。根据 Bleeping Computer 对被执行脚本 test.js 的分析，这段蠕虫代码会自动修改页面内容并传播恶意脚本，在短时间内已恶意篡改了 4000 余条页面，并悄悄替换了 85 个用户脚本以试图进一步扩散。

对此，维基媒体基金会采取紧急措施，临时限制了平台编辑操作，同时暂时停用部分用户指令码与 Gadget 功能，后续由工程团队陆续恢复受影响页面与清除恶意程序。基金会表示，目前尚未发现核心基础设施被入侵的证据。
Bleeping Computer 指出，此类事件凸显开放协作平台在 指令码管理和权限控制上的潜在风险。因此建议平台加强用户脚本审核与审查机制，同时限制高权限脚本的修改权限，建立严格的内容安全策略以降低类似攻击再次发生的可能性。