Netcrook Logo
👤 KERNELWATCHER
🗓️ 06 Mar 2026   🌍 Europe

“Caos Scritto”: come un worm JavaScript fuori controllo ha rivolto Wikipedia contro se stessa

Un attacco di codice auto-replicante ha imperversato su Wikipedia, deturpando migliaia di pagine ed esponendo vulnerabilità critiche nel motore della conoscenza mondiale.

È iniziato in sordina, come molte calamità informatiche: una manciata di veterani tra gli editor di Wikipedia ha notato strane modifiche automatiche comparire a caso. Nel giro di poche ore, la più grande enciclopedia del mondo era sotto assedio dall’interno, con le proprie pagine e gli script utente dirottati da un worm JavaScript furtivo e auto-propagante. Ciò che ne è seguito è stata una dimostrazione drammatica di come un singolo script malevolo possa trasformare la fiducia degli utenti in un’arma, e di come i custodi della conoscenza aperta si siano affannati per contenere il contagio digitale.

L’epidemia digitale

In un giorno altrimenti di routine, il forum “Village Pump” di Wikipedia si è acceso di allarme: gli editor stavano assistendo a un’impennata di modifiche agli script senza spiegazione e a vandalismi delle pagine. Quando gli ingegneri hanno iniziato a indagare, hanno trovato il colpevole: un worm JavaScript che si era annidato sia negli script specifici degli utenti sia in quelli globali, rivoltando contro Wikipedia i suoi stessi strumenti di personalizzazione.

L’attacco è iniziato quando uno script chiamato test.js, caricato originariamente nel sandbox di un utente della Wikipedia russa nel marzo 2024, è stato eseguito - probabilmente per errore - da un account di un dipendente Wikimedia. Non è chiaro se si sia trattato di un test innocente finito male o del risultato di un account compromesso. Ciò che è certo è che lo script era tutt’altro che innocuo: ha riconfigurato i file JavaScript degli utenti e quelli a livello di sito per caricarsi automaticamente, trasformando ogni editor infetto in un complice inconsapevole dell’attacco.

MediaWiki, il software che sta dietro Wikipedia, consente agli editor di personalizzare la propria esperienza tramite file JavaScript personali e globali. Questa apertura, di solito un vantaggio per la produttività, è diventata una vulnerabilità: una volta che il worm infettava il common.js di un utente, tentava di sovrascrivere il MediaWiki:Common.js globale se l’utente disponeva di privilegi sufficienti. Ciò significava che ogni visitatore successivo avrebbe eseguito anche il loader malevolo, accelerando l’epidemia.

Il worm non si è fermato agli script: ha vandalizzato migliaia di pagine iniettando loader e immagini nascosti, contaminando l’immensa base di conoscenza di Wikipedia. In risposta, gli ingegneri Wikimedia hanno imposto un blocco d’emergenza alle modifiche e avviato una massiccia operazione di bonifica - annullando le modifiche, sopprimendo gli script infetti e ripristinando gli account utente. Quando la situazione si è stabilizzata, quasi 4.000 pagine risultavano deturpate e decine di script utente compromessi.

Sebbene la minaccia immediata sia stata neutralizzata e le modifiche ripristinate, restano interrogativi. La Wikimedia Foundation non ha ancora pubblicato un’analisi completa post-incidente della violazione, lasciando la comunità a chiedersi come un singolo script trascurato abbia potuto trasformarsi in una crisi su scala dell’intera piattaforma.

Conseguenze e lezioni

Questo incidente è un monito netto: anche le piattaforme aperte costruite sulla collaborazione possono diventare il proprio peggior nemico se la fiducia viene abusata. Mentre gli ingegneri di Wikipedia tappano le falle, l’episodio probabilmente riaccenderà il dibattito su come bilanciare apertura e sicurezza - una tensione antica, oggi resa di nuovo urgente.

WIKICROOK

  • Worm JavaScript: Un worm JavaScript è un malware auto-replicante che si diffonde tramite i browser web, sfruttando vulnerabilità per infettare gli utenti e compromettere la sicurezza del web.
  • MediaWiki: MediaWiki è un software wiki open source usato per la gestione collaborativa dei contenuti, noto soprattutto per alimentare Wikipedia e piattaforme simili di condivisione della conoscenza.
  • common.js: common.js è un file JavaScript personale che consente agli editor wiki autenticati di personalizzare e migliorare l’interfaccia utente e l’esperienza di modifica.
  • Escalation dei privilegi: L’escalation dei privilegi si verifica quando un attaccante ottiene un accesso di livello superiore, passando da un normale account utente ai privilegi di amministratore su un sistema o una rete.
  • Soppressione: La soppressione riduce la visibilità di contenuti online negativi promuovendo materiale positivo, spingendo i risultati indesiderati più in basso nelle classifiche dei motori di ricerca.
JavaScript worm Wikipedia attack MediaWiki vulnerabilities
KERNELWATCHER KERNELWATCHER
Linux Kernel Security Analyst
← Back to news