La Wikimedia Foundation ha affrontato una situazione critica tra il 5 e il 6 marzo, quando un codice malevolo nascosto ha infettato le pagine di Meta-Wiki, la piattaforma centrale utilizzata per coordinare tutti i progetti dell'organizzazione. Il malware, identificato come un worm JavaScript, si è diffuso rapidamente attraverso la rete causando la cancellazione e la modifica di diversi contenuti. Come conseguenza immediata, la fondazione ha messo tutti i progetti Wikipedia in modalità di sola lettura per circa due ore, impedendo temporaneamente agli utenti di apportare modifiche ai contenuti.

Secondo le indagini condotte dagli ingegneri di Wikimedia, lo script dannoso – denominato test.js – era stato caricato originariamente sulla versione russa di Wikipedia già a marzo 2024, ma era rimasto inattivo per mesi. Il 5 marzo, durante una revisione ordinaria di sicurezza del codice realizzato dagli utenti, un dipendente della fondazione ha involontariamente attivato questo file compromesso. Una volta eseguito, il malware si è comportato come un vero e proprio worm, auto-propagandosi e iniettando codice JavaScript malevolo nei file common.js – gli script che permettono agli utenti registrati di modificare l'interfaccia della piattaforma.

Il meccanismo di diffusione è risultato particolarmente efficace: quando i visitatori accedevano all'enciclopedia, il loro browser eseguiva il common.js contaminato, diffondendo ulteriormente il worm. Secondo quanto scoperto da Bleeping Computer, l'infezione è rimasta attiva per soli 23 minuti, ma in questo breve lasso di tempo ha causato danni significativi alle pagine di Meta-Wiki. Fortunatamente, il periodo limitato di attività ha impedito che si verificassero conseguenze peggiori sulla piattaforma principale di Wikipedia.

La Wikimedia Foundation ha comunicato ufficialmente che il codice malevolo è stato rapidamente identificato e rimosso, con il ripristino completo di tutti i contenuti modificati e cancellati. L'organizzazione ha inoltre confermato che non sono state compromesse informazioni personali degli utenti e che non vi sono prove di un attacco esterno coordinato. Nei giorni seguenti verranno implementate misure di sicurezza più robuste per prevenire future attivazioni accidentali di codice dormiente e proteggere meglio i sistemi della piattaforma.