{"id":16095,"date":"2026-03-09T12:05:44","date_gmt":"2026-03-09T15:05:44","guid":{"rendered":"https:\/\/fenati.org.br\/?p=16095"},"modified":"2026-03-09T15:10:34","modified_gmt":"2026-03-09T18:10:34","slug":"malware-escondido-wikipedia-revisao-seguranca","status":"publish","type":"post","link":"https:\/\/fenati.org.br\/en\/malware-escondido-wikipedia-revisao-seguranca\/","title":{"rendered":"Malware escondido na Wikip\u00e9dia \u00e9 ativado durante revis\u00e3o de seguran\u00e7a"},"content":{"rendered":"<p><strong>Wikip\u00e9dia &#8211;<\/strong> Um incidente de seguran\u00e7a envolvendo um worm \u2014 tipo de c\u00f3digo malicioso capaz de se espalhar automaticamente \u2014 levou \u00e0 modifica\u00e7\u00e3o de milhares de p\u00e1ginas da Wikip\u00e9dia em quest\u00e3o de minutos. A pr\u00f3pria Wikimedia Foundation confirmou o epis\u00f3dio, que ocorreu ap\u00f3s a ativa\u00e7\u00e3o acidental de um script hospedado na vers\u00e3o russa da enciclop\u00e9dia.<\/p>\n<p>Segundo a organiza\u00e7\u00e3o, o malware permaneceu ativo por 23 minutos e chegou a modificar aproximadamente 3.996 p\u00e1ginas da <a href=\"https:\/\/pt.wikipedia.org\/wiki\/Meta-Wiki\" target=\"_blank\" rel=\"noopener nofollow\">Meta-Wiki<\/a>, al\u00e9m de comprometer arquivos de personaliza\u00e7\u00e3o de cerca de 85 contas de editores. O ataque foi contido no mesmo dia, e a funda\u00e7\u00e3o afirma que nenhum dado pessoal de usu\u00e1rios foi exposto.<\/p>\n<p><a href=\"https:\/\/fenati.org.br\/numero-acoes-trabalhistas-maior-nivel-desde-2017\/\" target=\"_blank\" rel=\"noopener\"><strong>LEIA: N\u00famero de a\u00e7\u00f5es trabalhistas atinge maior n\u00edvel desde 2017<\/strong><\/a><\/p>\n<p><strong>Origem do incidente<\/strong><\/p>\n<p>O problema come\u00e7ou com um script JavaScript hospedado na Wikip\u00e9dia em l\u00edngua russa, identificado como [User:Ololoshka562\/test.js], que havia sido carregado pela primeira vez em mar\u00e7o de 2024.<\/p>\n<p>Durante mais de um ano e meio, o arquivo permaneceu inativo dentro do sistema. Em seguran\u00e7a da informa\u00e7\u00e3o, essa estrat\u00e9gia \u00e9 conhecida como amea\u00e7a persistente \u2014 quando um c\u00f3digo malicioso permanece \u201cdormente\u201d, aguardando condi\u00e7\u00f5es favor\u00e1veis para ser executado.<\/p>\n<p>O gatilho ocorreu quando um funcion\u00e1rio da pr\u00f3pria Wikimedia Foundation carregou o script no navegador enquanto realizava uma revis\u00e3o de seguran\u00e7a de c\u00f3digos escritos por usu\u00e1rios.<\/p>\n<p>A organiza\u00e7\u00e3o confirmou que ativou o c\u00f3digo inadvertidamente durante esse processo, mas n\u00e3o especificou se houve falha de procedimento ou se a conta utilizada estava comprometida.<\/p>\n<p><strong>Como o worm se espalhava<\/strong><\/p>\n<p>Depois de carregado no navegador de um usu\u00e1rio autenticado, o script explorava uma funcionalidade leg\u00edtima do software MediaWiki, plataforma que sustenta a Wikip\u00e9dia e permite a execu\u00e7\u00e3o de arquivos JavaScript tanto no n\u00edvel individual das contas quanto no n\u00edvel global do site.<\/p>\n<p>O worm operava em duas frentes. Na primeira, sobrescrevia o arquivo de personaliza\u00e7\u00e3o da conta infectada, chamado common.js, com um loader \u2014 pequeno c\u00f3digo cuja fun\u00e7\u00e3o \u00e9 buscar e carregar automaticamente outro script. Com isso, sempre que o usu\u00e1rio abrisse qualquer p\u00e1gina da Wikip\u00e9dia enquanto estivesse logado, o worm seria executado novamente.<\/p>\n<p>Na segunda frente, se o usu\u00e1rio infectado possu\u00edsse privil\u00e9gios administrativos, o malware tamb\u00e9m modificava o arquivo global [MediaWiki:Common.js], carregado automaticamente por todos os editores da plataforma.<\/p>\n<p>Esse mecanismo transformava qualquer editor que acessasse uma p\u00e1gina da Wikip\u00e9dia em um novo vetor de propaga\u00e7\u00e3o, criando um ciclo de infec\u00e7\u00e3o em cadeia.<\/p>\n<p>Al\u00e9m de se espalhar, o worm selecionava p\u00e1ginas aleat\u00f3rias por meio do comando interno [Special:Random] e as editava para inserir conte\u00fado oculto visualmente. O material era escondido com a tag HTML display:none e continha um link para um script hospedado no dom\u00ednio externo basemetrika.ru, de origem russa.<\/p>\n<p><strong>Conten\u00e7\u00e3o e resposta<\/strong><\/p>\n<p>Ap\u00f3s detectar a propaga\u00e7\u00e3o do c\u00f3digo malicioso, engenheiros da Wikimedia desativaram temporariamente as edi\u00e7\u00f5es em todos os projetos da funda\u00e7\u00e3o, incluindo as vers\u00f5es da Wikip\u00e9dia em diferentes idiomas.<\/p>\n<p>Durante o processo, as equipes reverteram as altera\u00e7\u00f5es feitas pelo worm, limparam os arquivos common.js infectados e removeram as refer\u00eancias ao script externo. As vers\u00f5es modificadas das p\u00e1ginas tamb\u00e9m foram suprimidas dos hist\u00f3ricos p\u00fablicos de edi\u00e7\u00e3o.<\/p>\n<p>Em comunicado enviado ao site BleepingComputer, a Wikimedia Foundation informou que apenas a Meta-Wiki teve conte\u00fado alterado ou exclu\u00eddo, e que esse material est\u00e1 sendo restaurado.<\/p>\n<p>A organiza\u00e7\u00e3o tamb\u00e9m declarou que n\u00e3o h\u00e1 evid\u00eancias de que a Wikip\u00e9dia tenha sido alvo de um ataque coordenado externo e afirmou que pretende desenvolver medidas adicionais de seguran\u00e7a para evitar que incidentes semelhantes voltem a ocorrer.<\/p>\n<p><em><strong>(Com informa\u00e7\u00f5es de Tecmundo)<\/strong><\/em><\/p>\n<p><em><strong>(Foto:Reprodu\u00e7\u00e3o\/Freepik\/zukku85)<\/strong><\/em><\/p>\n","protected":false},"excerpt":{"rendered":"<p>C\u00f3digo malicioso foi ativado por funcion\u00e1rio durante an\u00e1lise interna e modificou quase 4 mil p\u00e1ginas em poucos minutos<\/p>","protected":false},"author":6,"featured_media":16097,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[35],"tags":[13],"class_list":["post-16095","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-ti","tag-sindical"],"_links":{"self":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/16095","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/users\/6"}],"replies":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/comments?post=16095"}],"version-history":[{"count":2,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/16095\/revisions"}],"predecessor-version":[{"id":16099,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/posts\/16095\/revisions\/16099"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media\/16097"}],"wp:attachment":[{"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/media?parent=16095"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/categories?post=16095"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/fenati.org.br\/en\/wp-json\/wp\/v2\/tags?post=16095"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}